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内 容 简 介 


本 书 运 用 信任 管理 思想 方法 ,深入 探讨 了 电子 商务 .移动 计算 和 云 计算 等 所 有 开放 式 网 络 应 用 环境 中 
共同 面临 的 安全 和 信任 问题 。 首 先 系统 地 介绍 信任 和 信任 管理 等 基本 概念 和 思想 方法 ;其 次 结合 作者 多 
年 的 科研 成 果 ,分 析 信 任 管 理 领域 的 两 个 重要 研究 方向 一 信任 度 评估 和 信任 协商 的 研究 内 容 , 重 点 阐述 
作者 的 课题 组 提出 的 一 些 新 技术 和 新 方法 ;最 后 探讨 信任 管理 思想 方法 在 P2P 网 络 安 全 、 网 格 安全 和 网 络 
诚信 建设 3 个 具体 问题 中 的 运用 。 全 书 共 分 8 章 , 内 容 包 括 信 任 管理 概述 、 基 于 多 维 证 据 的 信任 度 评 估 模 
型 .基于 行为 检测 的 信任 度 评估 技术 、 自 适应 自动 信任 协商 模型 、 自 适应 信任 协商 系统 设计 信任 管理 与 
P2P 网 络 安 全 ,信任 管理 与 网 格 安全 以 及 信任 管理 与 网 络 诚信 建设 等 。 
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目前 ,基于 开放 网 络 环境 下 的 电子 商务 移动 计算 、 网 络 游戏 和 云 计算 等 新 型 网 络 应 用 
正在 不 断 渗入 和 扩散 到 国民 经 济 和 社会 发 展 的 各 个 领域 。 在 开放 的 互联 网 中 ,由 于 参与 主 
体 数 量 的 规模 大 、 运 行 环境 的 异 构 性 、 活 动 目标 的 动态 性 以 及 自主 性 等 特点 ,各 资源 主体 往 
往 隶 属于 不 同 的 管理 机 构 , 不 同 的 管理 域 对 安全 控制 的 需求 和 采用 的 安全 策略 可 能 完全 不 
同 , 使 得 传统 的 安全 技术 和 手段 ,尤其 是 安全 授权 机 制 ,如 访问 控制 列表 一 些 传统 的 公 钥 证 
书 体系 等 ,在 跨 域 进行 授权 及 访问 控制 时 显得 力不从心 ,暴露 出 许多 弱点 。 因 此 ,如 何在 开 
放 的 互联 网 中 建立 和 维护 不 同 管理 域 之 间 以 及 各 个 交互 主体 之 间 的 信任 关系 ,并 以 此 实现 
它们 之 间 的 协同 工作 ,是 当前 各 种 新 型 网 络 应 用 所 共同 面临 的 一 个 基础 性 问题 。 

1996 年 ,M，Blaze 等 学 者 为 解决 Internet 网 络 服 务 的 安全 问题 首次 使 用 了 “信任 管理 ” 
的 概念 ,并 在 此 基础 上 研制 了 相应 的 信任 管理 系统 。M. Blaze 等 人 将 信任 管理 定义 为 采用 
一 种 统一 的 方法 描述 和 解释 安全 策略 ,安全 凭证 以 及 用 于 直接 授权 关键 性 安全 操作 的 信任 
关系 。 信 任 管理 的 意义 在 于 提供 一 个 基于 安全 凭证 的 通用 安全 决策 支持 框架 , 它 比 较 适 合 
应 用 于 开放 的 网 络 环境 。 与 此 同时 ,A. Adul-Rahman 等 学 者 从 “信任 ”的 概念 出 发 ,对 信任 
内 容 和 信任 程度 进行 划分 ,并 从 信任 的 主观 性 入 手 给 出 信任 的 数学 模型 用 于 信任 评估 。 
D. Povey 在 M. Blaze 定义 的 基础 上 ,结合 A. Adul-Rahman 等 人 提出 的 主观 信任 模型 思 
想 ,给 出 了 一 个 更 具 一 般 性 的 信任 管理 定义 , 即 信任 管理 是 信任 意向 的 获取 ,评估 和 实施 。 
目前 ,许多 学 者 趋 于 认为 信任 管理 是 一 种 为 确定 用 于 决策 的 信任 而 通过 搜集 、 分 析 和 编码 相 
关 证 据 以 进行 决策 评价 的 行为 , 它 实际 上 是 一 种 决策 支持 技术 。 在 开放 网 络 环境 中 ,各 系统 
之 间 相 互 独立 ,但 只 有 建立 相互 信任 关系 ,系统 之 间 才 能 实现 有 效 交互 ,所 以 信任 管理 作为 
网 络 安 全 技术 的 重要 前 提 和 基础 , 正 日 益 成 为 网 络 安 全 研究 的 热点 。 

在 跨 域 网 络 协 同 环境 中 ,由 于 交互 主体 间 的 生 朴 性 以 及 共享 资源 的 敏感 性 ,陌生 的 主体 
之 间 很 难 建立 信任 关系 。 为 了 解决 上 述 问 题 ,2000 年 Winsborough 等 人 提出 了 “自动 信任 
协商 ”的 概念 , 它 是 “通过 赁 证、 访问 控制 策略 的 交互 披露 ,资源 的 请 求 方 和 提供 方 自动 地 建 
立信 任 关 系 ”。 目 前 ,自动 信任 协商 的 研究 已 得 到 迅速 发 展 ,并 成 为 当前 的 一 个 重要 研究 方 
向 ,其 研究 和 应 用 在 国际 上 备 受 关注 。 

信任 管理 和 信任 协商 等 概念 和 思想 的 出 现 ,为 所 有 基于 开放 、 分 布 、 动 态 特性 环境 的 安 
全 和 信任 问题 提供 了 新 的 解决 思路 。 本 书 运用 信任 管理 思想 方法 ,深入 探讨 电子 商务 ,移动 
计算 和 云 计算 等 所 有 开放 式 网 络 应 用 环境 中 共同 面临 的 安全 和 信任 问题 。 首 先 ,系统 地 介 
绍 “ 信 任 ” 和 “信任 管理 ”等 基本 概念 和 思想 方法 ;其 次 ,结合 作者 多 年 的 科研 成 果 , 分 析 信 任 
管理 领域 的 两 个 重要 研究 方向 一 一 信任 度 评估 和 信任 协商 的 研究 内 容 , 重 点 阐述 作者 的 课 
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题 组 提出 的 一 些 新 技术 和 新 方法 :最 后 ,探讨 信任 管理 思想 方法 在 PP 网 络 安全 、 网 格 安全 
和 网 络 诚信 建设 3 个 具体 问题 中 的 运用 。 

全 书 共 分 8 章 。 第 1 章 “ 信 任 管理 概述 ”对 信任 管理 思想 方法 加 以 概述 。 本 章 对 信任 管 
理 的 思想 方法 和 技术 要 领 进行 了 简明 扼要 的 阐述 ,首先 介绍 信任 和 信任 管理 的 基本 概念 , 讨 
论 信 任 管理 产生 背景 .基本 内 涵 、 主 要 内 容 以 及 国内 外 研究 现状 ;然后 概要 地 讨论 信任 度 评 
估 涉 及 的 主要 内 容 , 介 绍 信任 协商 的 基本 概念 .关键 技术 和 解决 方案 ,以 作为 本 书 其 他 章节 
的 引子 。 

第 2 章 和 第 3 章 是 关于 信任 度 评 估 方 面 的 研究 内 容 。 其 中 ,第 2 章 * 基 于 多 维 证 据 的 信 
任 度 评估 模型 "提出 一 种 基于 多 维 证 据 的 信任 度 评估 模型 ,该 模型 基于 交易 反馈 和 网 络 操作 
行为 两 个 层面 的 多 维 证 据 源 进行 信任 计算 ,扩展 了 证 据 源 ,突破 了 只 依据 单一 种 类 证 据 源 进 
行 信任 评估 而 引起 的 缺陷 ;另外 ,应 用 改进 的 D-S 证 据 理 论 来 合成 多 维 证 据 , 较 好 地 解决 了 
证 据 不 确定 性 的 问题 。 第 3 章 “ 基 于 行为 检测 的 信任 度 评估 技术 ”专门 阐述 一 种 基于 网 络 操 
作 行 为 的 信任 度 评 估 模 型 和 算法 ,这 种 模型 着 重 考虑 了 用 户 的 网 络 操作 行为 ,以 用 户 的 日 常 
网 络 操作 行为 和 交易 行为 作为 信任 度 评 估 的 依据 。 

第 4 章 和 第 5 章 是 关于 信任 协商 方面 的 研究 内 容 。 其 中 ,第 4 章 “ 自 适应 自动 信任 协商 
模型 "提出 一 种 新 的 信任 协商 模型 , 即 一 种 自 适应 自动 信任 协商 模型 (简称 AATN) , 它 能 根 
据 信 任 度 评估 结果 动态 调整 访问 控制 策略 和 协商 策略 ,对 于 信任 度 高 的 协商 方 可 提供 快速 
响应 的 策略 ,而 对 于 信任 度 低 的 协商 方 则 提供 更 为 谨慎 安全 的 策略 ,以 有 效 兼顾 信任 协商 中 
效率 和 安全 两 个 方面 的 需求 。 第 5 章 “ 自 适应 信任 协商 系统 设计 ”在 第 4 章 提 出 的 自 适应 信 
任 协商 模型 的 基础 上 ,主要 讨论 自 适应 信任 协商 系统 的 设计 和 实现 问题 。 

第 6—8 章 探讨 信任 管理 思想 方法 在 具体 网 络 安全 问题 中 的 运用 。 其 中 ,第 6 章 “ 信 任 
管理 与 P2P 网 络 安全 ”主要 益 述 使 用 信任 协商 技术 解决 P2P 网 络 安全 问题 ,重点 设计 并 分 
析 一 种 P2P 网 络 信任 协商 系统 NetTrust。 第 7 章 “ 信 任 管 理 与 网 格 安全 ”在 全 面 分 析 网 格 
安全 需求 的 基础 上 ,基于 信任 和 信任 管理 的 思想 方法 深入 探讨 网 格 安全 解决 方案 。 第 8 章 
“信任 管理 与 网 络 诚信 建设 "探讨 在 网 络 诚信 建设 中 如 何 管理 和 规范 网 络 主体 行为 的 问题 ， 
主要 论述 软件 信任 评价 体系 、 网 站 信任 评价 体系 和 网 络 个 人 用 户 信 任 评价 体系 3 种 网 络 主 
体 信任 评价 体系 。 

本 书 作为 一 本 学 术 专 著 , 来 源 于 科学 研究 的 实践 。 作 者 从 2000 年 以 来 一 直 针 对 分 布 式 
跨 域 协作 环境 下 的 安全 问题 进行 研究 ,2002 年 年 底 结合 网 格 技术 在 高 能 物理 领域 的 应 用 ， 
完成 了 中 国 科学 院 博 士 学 位 论文 (网 格 环境 下 的 安全 技术 研究 )。 在 此 基础 上 ,2005 4E 1 月 
完成 清华 大 学 博士 后 研究 报告 (开放 网 络 环境 下 的 若干 安全 问题 研究 》。 在 攻读 博士 学 位 和 
进行 博士 后 研究 期 间 , 作 为 主要 研究 人 员 参 加 了 中 国 科 学 院 知识 创新 工程 重大 项 目 之 子 项 
日 “黑客 防范 体系 ”国家 重点 基础 研究 发 展 规划 项 目 (973)“ 信 息 与 网 络 安全 体系 研究 ”中 的 
“信息 分 析 和 监控 ”, 以 及 国家 973 项 目 “ 信 息 技 术 中 的 应 用 理论 与 高 性 能 软件 ”中 的 “密码 算 
法 研究 与 网 络 安全 系统 研制 ?等 大 型 项 目的 研究 与 开发 工作 。 从 2005 年 起 任职 于 北京 信息 
科技 大 学 后 ,主持 承担 了 北京 市 教委 科技 计划 项 目 “ 基 于 信任 管理 的 网 格 安 全 模型 及 应 用 研 
究 ” 和 北京 市 自然 科学 基金 项 目 “ 网 格 自 适应 信任 协商 若干 关键 问题 研究 ”,2008 年 开始 主 
持 承 担 国家 自然 科学 基金 项 目 “ 一 种 自 适 应 信任 协商 模型 研究 ”"。 作 者 在 梳理 这 十 多 年 研究 
经 历 和 研究 积累 的 过 程 中 ,深刻 认识 到 信任 和 信任 管理 思想 方法 对 于 解决 开放 网 络 协作 环 
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境 下 安全 问题 的 重要 性 ,因此 下 定 决心 撰写 了 本 书 , 提 供给 从 事 相 关 技术 开发 和 科学 研究 的 
专业 人 员 参 考 和 借鉴 。 

在 研究 和 写作 过 程 中 ,本 人 主要 得 益 于 我 的 研究 生 杨 东 浩 、 刘 思 征 、 郭 少 旭 、 陈 文亮 、 吴 
洋 、 韩 莹 莹 , 晃 储 频 \ 王 鸿 、 汪 秋 云 ,本 书 的 很 多 思想 方法 是 我 在 指导 他 们 完成 科研 项 目 研究 
和 硕士 学 位 论文 中 产生 的 ,同时 他 们 还 帮助 我 整理 书稿 ,做 了 许多 烦琐 的 工作 。 因 此 ,我 要 
对 他 们 表示 衷心 的 感谢 ! 

我 还 要 感谢 中 国 科学 院 高 能 物理 研究 所 的 杨 大 鉴 老 师 和 许 榕 生 老 师 ,清华 大 学 的 戴 一 
奇 老 师 和 林 冯 老师 ,他 们 对 我 在 攻读 博士 学 位 期 间 和 博士 后 研究 工作 中 给 予 了 极 大 的 指导 
和 帮助 。 同 时 感谢 北京 信息 科技 大 学 各 位 领导 和 同事 的 鼎力 相助 ,感谢 清华 大 学 出 版 社 编 
辑 张 表 的 辛勤 工作 。 

由 于 时 间 仓 促 , 加 上 信任 管理 是 一 个 较 新 的 研究 领域 ,因此 本 书 错误 之 处 在 所 难免 , 欢 
迎 广大 读者 批评 指正 。 
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第 1 章 ”信任 管理 概述 


目前 ,基于 开放 网 络 环境 下 的 电子 商务 ` 云 计算 、 移 动 计 算 、 网 络 游戏 和 物 联 网 等 新 型 网 
络 应 用 逐渐 成 为 一 种 主流 应 用 模式 。 在 开放 的 互联 网 中 ,由 于 参与 主体 数量 的 规模 大 、 运 行 
环境 的 异 构 性 、 活 动 目标 的 动态 性 以 及 自主 性 等 特点 ,各 资源 主体 往往 隶属 于 不 同 的 管理 机 
Fg ,不 同 的 管理 域 对 安全 控制 的 需求 和 采用 的 安全 策略 可 能 完全 不 同 ,使 得 传统 的 安全 技术 
和 手段 ,尤其 是 安全 授权 机 制 , 如 访问 控制 列表 (ACL) .一些 传统 的 公 钥 证 书 体系 (PKI) 等 ， 
在 跨 域 进行 授权 及 访问 控制 时 显得 力不从心 ,暴露 出 许多 弱点 。 因 此 ,如 何在 开放 的 互联 网 
中 建立 和 维护 不 同 管理 域 之 间 以 及 各 个 交互 主体 之 间 的 信任 关系 ,并 以 此 实现 它们 之 间 的 
协同 工作 ,是 当前 各 种 新 型 网 络 应 用 所 共同 面临 的 一 个 基础 性 问题 。 

为 了 解决 上 述 问题 ,近年 来 信息 安全 领域 出 现 了 一 个 新 的 重要 研究 方向 一 一 信任 管理 ， 
日 前 信任 管理 技术 为 所 有 基于 开放 、 分 布 .动态 特性 环境 的 安全 和 信任 问题 提供 了 新 的 解决 
思路 。 本 章 对 信任 管理 的 思想 方法 和 技术 要 领 进行 简明 扼要 的 阐述 ,以 作为 本 书 其 他 章节 
的 引子 。 


1.1 信任 与 信任 管理 


1.1.1 EE 


信任 是 一 个 很 难 严格 定义 的 抽象 概念 ,目前 还 没有 一 个 精确 的 .广泛 可 接受 的 定义 ,不 
同 的 研究 往往 倾向 于 在 所 处 的 上 下 文中 对 信任 这 个 概念 作 不 同 的 定义 。 到 目前 为 止 ,信任 
概念 在 信息 技术 领域 中 得 到 了 广泛 应 用 ,不 同 的 学 者 基于 不 同 的 目的 和 角度 对 信任 有 不 同 
的 定义 和 理解 。 

Gambetta"! F 1990 年 给 出 了 信任 的 定义 ,他 认为 在 多 代理 环境 中 ,信任 是 在 不 能 提前 
监控 某 代 理 特定 行为 及 影响 该 行为 的 相关 内 容 的 前 提 下 ,在 一 定 程度 上 某 代 理 能 完成 该 特 
定 行为 的 主观 可 能 性 。 随 后 K. Konrad” 提出 信任 是 一 个 与 诚实 ` 相 信 竞争 以 及 可 靠 等 联 
系 在 一 起 的 一 个 主体 概念 。 

Kini 和 Choobineh 中 在 他 们 的 关于 信任 的 理论 架构 中 认为 ,信任 就 是 : 

(1) 一 个 对 某 一 个 人 或 者 事情 可 靠 性 的 预测 。 其 信任 度 取 决 一 个 被 信任 者 的 特征 、 能 
力 力量 以 及 真实 度 。 

(2) 一 份 对 诺言 (约定 ) 或 者 一 个 关系 的 条 件 的 责任 。 

G) 对 某 一 个 实体 给 予 信心 。 

Grandison 中 认为 ,信任 是 在 特定 的 环境 中 对 于 一 个 实体 具有 诚实 .安全 和 可 靠 行动 的 
能 力 的 坚定 信念 。Tyrone 上 5 等 在 2003 年 认为 ,信任 是 在 特定 上 下 文中 ,信任 者 对 于 被 信任 
者 能 力 、 诚 实 性 、 安 全 性 和 可 靠 性 的 量化 信念 。Mauicg 则 将 信任 定义 为 某 一 代理 对 另 一 代理 
未 来 行为 的 主观 期 待 。Wang 中 认为 ,信任 是 某 代理 根据 自身 的 直接 经 验 对 另 一 节点 能 力 、 
诚实 度 和 可 信赖 程度 的 信念 。Hussain 四 认为 ,在 面向 服务 的 网 络 环境 中 ,信任 是 评估 代理 
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对 于 被 评估 代理 在 某 既 定时 间 内 ,按照 双方 已 达成 一 致 的 内 容 , 成 功 地 提交 该 行为 的 意愿 和 


总 之 ,信任 是 一 个 很 广阔 的 概念 , 它 与 忠诚 、 信 赖 .安全 .可 靠 和 能 力 等 概念 都 有 联系 ; 另 
外 , 它 在 多 个 学 科 领 域 都 有 涉及 ,如 心理 学 .社会 学 、 经 济 学 .进化 生物 学 、 组 织 行为 学 .哲学 
以 及 计算 机 科学 等 。 

文献 [9] 提 出 一 种 方法 ,将 社会 学 .哲学 .管理 学 .经 济 学 和 政治 学 等 领域 对 信任 的 研究 
成 果 进 行 划分 ,从 概念 上 把 信任 分 为 六 大 类 。 

CD 倾向 信任 (Cdisposition): 即 人 们 自然 地 倾向 于 信任 实体 A。 

(2) 环境 信任 (situation): 即 实体 A 信任 某 一 特定 的 情景 (scenario) 。 

(3) 结构 信任 (Cstructure) ; 即 实体 A 客观 地 相信 结构 B 是 某 个 整体 的 一 部 分 。 

(4) 信念 信任 (belief) : 即 实体 A 相信 实体 B 是 值得 信赖 的 。 

(5) 意图 信任 (intention) : 即 实体 A 乐于 依靠 实体 B. 

(6) 行为 信任 (behaviour): 即 实体 A 自愿 依靠 实体 B. 

本 书 所 研究 的 信任 应 属于 第 4 种 信任 , 即 信念 信任 。 我 们 可 以 将 信任 定义 为 : 实体 A 
根据 相关 证 据 对 实体 B 在 一 定 环境 下 完成 特定 行为 的 一 种 信念 。 信 任 具 有 以 下 几 个 主要 
特征 ， 

(1) 主观 性 , 即 信任 是 一 种 信念 ,是 一 种 主观 评价 。 

(2) 非 对 称 性 , 即 实体 A 信任 实体 B 并 不 意味 着 B 也 信任 A. 

(3) 动态 性 , 即 实 体 A 在 经 验 及 所 掌握 的 信息 发 生变 化 的 情况 下 对 于 B 的 信任 也 会 发 
生变 化 。 

CD 非 完全 传递 性 , 即 实体 C 向 A 推荐 其 信任 的 B, 而 A 根据 自己 的 经 验 并 非 一 定 信 
任 B。 

(5) 环境 相关 性 , 即 实体 A 在 特定 环境 下 信任 B 并 不 意味 着 在 其 他 环境 下 也 信任 B. 


1.1.2 信任 管理 


1996 4Æ,M. Blaze 等 学 者 为 解决 Internet. 网 络 服务 的 安全 问题 首次 使 用 了 “信任 管理 
(trust management) ”的 概念 中 ,并 在 此 基础 上 研制 了 相应 的 信任 管理 系统 Policy Maker! 
fll KeyNote™ , M. Blaze 等 人 将 信任 管理 定义 为 采用 一 种 统一 的 方法 描述 和 解释 安全 策 
略 、 安 全 凭证 以 及 用 于 直接 授权 关键 性 安全 操作 的 信任 关系 。 基 于 该 定义 ,信任 管理 的 内 容 
包括 制订 安全 策略 ,获取 安全 凭证 以 及 判断 安全 凭证 集 是 否 满足 相关 的 安全 策略 等 。 这 类 
信任 管理 系统 的 意义 在 于 提供 了 一 个 基于 安全 凭证 的 ,独立 于 具体 应 用 的 、 综 合 的 安全 决策 
框架 。 其 本 质 是 使 用 一 种 精确 的 、 理 性 的 方式 来 描述 和 处 理 复杂 的 信任 关系 。 但 在 这 种 信 
任 管理 思想 提出 之 前 和 之 后 ,都 有 一 些 学 者 ,如 A. Abdul-Rahman 等 人 认为 信任 是 非 理 性 
HgUt 1 ,是 一 种 经 验 的 体现 ,不 仅 要 有 具体 的 内 容 , 还 应 有 程度 的 划分 。 

A. Abdul-Rahman 等 学 者 从 信任 的 概念 出 发 ,对 信任 内 容 和 信任 程度 进行 划分 ,并 从 
信任 的 主观 性 入 手 给 出 信任 的 数学 模型 用 于 信任 评估 。D. Povey 在 M. Blaze 定义 的 基础 
上 ,结合 A. Abdul-Rahman 等 人 提出 的 主观 信任 模型 思想 ,给 出 了 一 个 更 具 一 般 性 的 信任 
管理 定义 , 即 信任 管理 是 信任 意向 的 获取 、 评 估 和 实施 " 。 主 观 信任 模型 认为 ,信任 是 主体 
对 客体 特定 行为 的 主观 可 能 性 预期 ,取决 于 经 验 .并 随 着 客体 行为 的 结果 变化 而 不 断 修正 。 
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这 类 信任 模型 所 关注 的 内 容 主 要 有 信任 表述 、 信 任 度量 和 信任 度 评 估 。 这 样 的 一 个 信任 模 
型 与 安全 策略 的 实施 相 结合 同样 可 以 构成 一 个 一 般 意义 上 的 信任 管理 系统 。 

我 们 把 上 述 两 种 不 同类 型 的 信息 管理 思想 分 别称 为 基于 凭证 的 信息 管理 和 基于 行为 的 
信任 管理 , 即 M. Blaze 等 学 者 所 研究 的 信任 管理 模型 是 一 种 基于 凭证 的 信任 管理 模型 ,而 
A. Abdul-Rahman 等 人 提出 的 主观 信任 模型 实质 上 是 一 种 基于 行为 的 信任 管理 模型 。 

l. 基于 凭证 的 信任 管理 

PolicyMaker 是 M. Blaze 等 人 依据 他 们 所 提出 的 信任 管理 思想 较 早 实现 的 信任 管理 系 
统 ,PolicyMaker 为 网 络 服务 安全 授权 提供 了 一 个 完整 而 直接 的 解决 方法 ,取代 了 传统 的 认 
证 和 访问 控制 相 结合 的 做 法 ,并 且 给 出 了 一 个 独立 于 特定 应 用 的 一 致 性 证 明 验 证 算法 ,用 于 
服务 请 求 安全 凭证 和 安全 策略 的 匹配 。PolicyMaker 是 一 个 实验 性 质 的 信任 管理 系统 ,其 
功能 相对 简单 ,不 提供 安全 凭证 的 收集 和 验证 的 功能 。 应 用 系统 必须 负责 收集 并 保证 足够 
的 安全 凭证 用 于 验证 相关 的 操作 请 求 , 还 需 根 据 安全 凭证 的 公 钥 信息 验证 其 可 靠 性 ,而 
PolicyMaker 仅 根 据 应 用 系统 输入 的 操作 请 求 安全 策略 集 和 安全 凭证 集 来 完成 最 后 的 一 致 
性 证 明 验 证 工作 。 这 种 信任 管理 引擎 与 应 用 系统 的 功能 划分 加 重 了 应 用 系统 的 负担 ,而 且 
可 能 会 因为 安全 凭证 收集 不 充分 而 导致 一 致 性 证 明 验 证 的 失败 。 但 应 用 系统 负责 安全 凭证 
的 可 靠 性 验证 ,使 其 在 选择 签名 算法 时 具有 一 定 的 灵活 性 55 。 

KeyNote 是 M. Blaze 等 人 实现 的 第 2 个 信任 管理 系统 。 不 同 于 PolicyMaker,KeyNote 
在 设计 之 初 就 希望 能 够 促进 信任 管理 系统 的 标准 化 并 使 其 易于 集成 到 应 用 系统 中 。 为 此 ， 
KeyNote 在 系统 的 设计 和 实现 上 与 PolicyMaker 存在 着 很 大 的 差别 。 目 前 ,KeyNote 已 在 
IPsec 协议 和 网 上 交易 的 离线 支付 等 方面 进行 了 一 些 应 用 研究 。KeyNote 采用 一 种 类 似 于 
电子 邮件 信 头 的 格式 来 描述 安全 策略 和 安全 凭证 断言 。KeyNote 提供 一 种 专门 的 语言 
描述 安全 策略 和 安全 凭证 断言 ,并且 负 责 安全 凭证 的 可 靠 性 验证 。 这 样 一 方面 减轻 了 应 用 
系统 的 负担 ,使 KeyNote 更 容易 与 应 用 系统 集成 ; 另 一 方面 则 有 利于 安全 策略 和 安全 凭证 
描述 格式 的 标准 化 ,使 应 用 系统 能 够 更 有 效 地 传播 .获取 以 及 使 用 安全 策略 和 安全 凭证 。 

REFEREE'*! fé Y. H. Chu 等 人 为 解决 Web 浏览 安全 问题 而 开发 的 信任 管理 系统 。 
虽然 其 设计 目标 比较 单一 ,但 可 以 较 完 整地 实现 信任 管理 模型 所 列 出 的 各 要 素 。 
REFEREE 采用 了 与 PolicyMaker 类 似 的 完全 可 编程 的 方式 描述 安全 策略 和 安全 凭证 。 在 
REFEREE 系统 中 ,安全 策略 和 安全 凭证 均 被 表达 为 一 段 程序 ,但 程序 必须 采用 REFEREE 
约定 的 格式 来 描述 。REFEREE 灵活 的 一 致 性 证 明 验证 机 制 一 方面 使 其 具有 较 强 的 处 理 能 
力 , 男 一 方面 也 导致 其 实现 代价 较 高 。 而 允许 安全 策略 和 安全 凭证 程序 间 的 自主 调用 则 存 
在 较 大 的 安全 隐患 。 另 外 ,必须 看 到 REFEREE 的 验证 结果 可 能 会 出 现 未 知 的 情况 。 
REFEREE 能 够 在 一 臻 性 证 明 验 证 时 自动 收集 并 验证 安全 凭证 的 可 靠 性 ,应 用 系统 仅 需 给 
出 初始 的 安全 策略 安全 凭证 和 验证 内 容 以 及 一 些 必要 的 验证 上 下 文 信息 。 这 一 点 有 利于 该 
信任 管理 系统 的 使 用 。 

2. 基于 行为 的 信任 管理 

1) A. Abdul-Rahman 信任 管理 模型 

A. Abdul-Rahman 信任 管理 模型 是 基于 社会 学 特征 的 信任 模型 ,该 模型 支持 下 面 的 一 
些 社会 信任 属性 : 
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(1) 信任 是 依赖 于 上 下 文 的 ; 
(2) 尽管 在 一 个 小 的 信任 值 范 围 内 ,该 模型 支持 Agent 诚信 的 消极 和 积极 信任 度 ; 
(3) 信任 是 基于 以 前 的 经 验 ,代理 能 够 识别 重复 有 相似 背景 和 相同 代理 商 的 经 验 ; 
(4) Agent 通过 推荐 交换 评估 信息 ,从 而 支持 了 声誉 机 制 以 协助 信任 决策 ; 
(5) 信任 是 不 可 传递 的 ,所 有 推荐 的 信任 将 考虑 到 推荐 的 源 的 信任 ; 
(6) 信任 是 主观 的 ,不 同 的 观察 者 对 于 相同 的 代理 的 诚信 度 可 能 有 不 同 的 看 法 ; 
(7) 信任 是 动态 的 和 非 单调 的 ,进一步 的 经 验 和 推荐 能 提高 或 降低 另 一 名 代理 人 的 信 
任 程 度 ; 
(8) 只 有 人 际 信任 的 支持 ,在 这 个 阶段 中 ,我 们 排除 倾向 性 和 系统 信任 。 
A. Abdul-Rahman 提出 的 模型 是 基于 经 验 和 声望 的 行为 信任 模型 ,该 模型 允许 实体 决 
定 哪些 实体 是 值得 信赖 的 ,并 且 允 许 实体 调整 关于 其 他 实体 推荐 的 知识 。 该 模型 可 描述 为 : 
(1) 实体 直接 信任 的 集合 Qs 
(2) 推荐 者 集合 R; 
(3) C= 二 {cycs，…sc,) 是 实体 x 所 知 的 上 下 文 环境 集合 ; 
(4) A 二 {a ,as，…,a,} 代 表 一 组 实体 ,直接 或 者 间接 与 实体 x 进行 交易 ; 
(5) 经 验 e 的 结果 级 别 为 : E=={vg,g,b,vb})。 
直接 信任 评估 : 直接 信任 是 在 一 定 的 上 下 文中 ,一 个 实体 信任 另 一 个 实体 的 可 信和 度 , 用 
td 表示 。 其 值 的 计算 取决 于 直接 交易 的 经 验 结果 : 
jtd € EVs, € s. Cs, = max(s)) (td = e); (1.1) 
其 中 ,s; 是 当 经验 e=) 时 的 经 验 累加 值 ;如 果 max(s) 返 回 的 是 多 个 值 ,那么 td 被 分 配 为 不 
确定 的 值 有 如 下 3 种 情况 : 当 e 为 vg^g^? 时 ,td 为 ut, EA: 大 部 分 是 好 的 ,小 部 分 是 
不 好 的 ; 当 e 为 vb 人 0^? 时 ,td 为 u 一 , 意 为 : 大 部 分 不 好 ,小 部 分 好 ; 当 。 为 其 他 组 合 的 时 
候 ,td 为 u0, 意 为 : 不 好 的 和 好 的 一 样 多 。 
推荐 信任 : 在 特定 的 上 下 文中 c, 一 个 实体 a 对 另 一 个 实体 4b 的 信任 程度 rtd 是 由 其 他 
实体 的 推荐 信任 所 给 出 的 。 当 决定 实体 a 在 上 下 文 环境 是 c 的 推荐 信任 rtd 时 ,首先 能 找 
到 实体 a 在 推荐 集合 R 里 的 一 个 关系 (c,a,t), 其 中 t= (Tw Tas Tos To) Ta = Ta UT: U 
TU Tw。 所 以 rtd 的 值 为 
rtd = mod(( Vx €T* || x |) (1.2) 
在 ^. Abdul-Rahman 的 模型 中 ,除了 直接 信任 和 推荐 信任 的 评估 ,还 要 进行 语义 距离 
的 评估 和 推荐 本 身 的 信任 评估 ,评估 值 公式 分 别 为 : 


Ve € E.sd, = mod(T.) €1.3) 
rd* = rd CD sd, (1.4) 
最 终 的 信任 值 更 新 包括 了 更 新 经 验 和 结合 推荐 : 
se 一 S 十 1 (1,5) 
Ta = Tua U (Ce Ord)} (1.6) 
ILI 
Ve CEVw; EL.. sum, = jm CL. Y) 


Hop ow; 为 推荐 者 的 权重 ,L, 为 那些 与 e 的 推荐 者 相关 的 权重 。 
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2) Beth 信任 管理 模型 

Beth 信任 管理 模型 引入 了 经 验 的 概念 来 表述 和 度量 信任 关系 ,并 给 出 了 由 经 验 推荐 所 
引出 的 信任 度 推导 和 综合 计算 公式 。 在 Beth 信任 管理 模型 中 ,经 验 被 定义 为 对 某 个 实体 完 
成 某 项 任务 的 情况 记录 。 对 应 于 任务 的 成 败 , 经 验 被 分 为 肯定 经 验 和 否定 经 验 , 若 实体 任务 
成 功 则 对 其 肯定 经 验 记 数 增加 , 若 实体 任务 失败 则 和 否定 经 验 记 数 增加 。 模 型 中 的 经 验 可 以 
由 推荐 获得 ,而 推荐 经 验 的 可 信 度 问题 同样 是 信任 问题 。 为 此 ,模型 将 信任 分 为 直接 信任 和 
推荐 信任 ,分 别 用 于 描述 主体 与 客体 .主体 与 客体 经 验 推 荐 者 之 间 的 信任 关系 。 即 主体 对 客 
体 的 经 验 既 可 以 直接 获得 ,又 可 以 通过 推荐 者 获得 ,而 推荐 者 提供 的 经 验 同 样 可 以 通过 其 他 
推荐 者 获得 。 直 接 信任 关系 和 推荐 信任 关系 形成 了 一 条 从 主体 到 客体 的 信任 链 , 而 主体 对 
客体 行为 的 主观 预期 则 取决 于 这 些 直 接 的 和 间接 的 经 验 。Beth 信任 管理 模型 所 关注 的 内 
容 主 要 有 信任 表述 、 信 任 度量 和 信任 度 评估 。 信 任 度 评估 是 整个 信任 管理 模型 的 核心 ,因此 
信任 管理 模型 也 称 为 信任 度 评 估 模 型 。 信 任 度 评估 与 安全 策略 的 实施 相 结合 同样 可 以 构成 
一 个 一 般 意义 上 的 信任 管理 系统 。P. Herrmann 等 人 提出 了 一 个 “信任 适应 的 安全 策略 实 
施 ”(Trust-adapted Enforcement of Security Policy) 的 概念 ,并 在 这 方面 做 了 一 些 初步 的 
研究 。 

直接 信任 定义 为 “车 P 对 Q 的 所 有 (包括 直接 的 或 由 推荐 获得 的 ) 经 验 均 为 肯定 经 验 ， 
则 P xt Q 存在 直接 信任 关系 "”。 当 Q 被 信任 时 ,Q 能 成 功 完成 任务 的 概率 被 用 于 评价 这 种 
信任 关系 ,而 概率 的 计算 则 取决 于 P 对 Q 的 肯定 经 验 记 录 。Beth 采用 式 (1.8) 描 述 直 接 信 
任 度 与 肯定 经 验 记录 的 关系 : 

VO) =1—a? (1.8) 
其 中 ,p 是 PP 所 获得 的 关于 Q 的 肯定 经 验 数 ,是 对 Q 成 功 完 成 一 次 任务 的 可 能 性 期 望 。 
式 (1.8) 基 于 Q 完成 一 次 任务 的 可 能 性 在 [0,1] 上 服从 均匀 分 布 这 一 假设 。 

推荐 信任 定义 为 " 若 P 愿意 接受 Q 提供 的 关于 目标 实体 的 经 验 , 则 P 对 Q 存在 推荐 经 
验 关系 ”。Beth 采用 肯定 经 验 与 否定 经 验 相 结合 的 方法 描述 推荐 信任 度 。 推 荐 信任 度 与 经 
验 记录 的 关系 采用 如 下 公式 描述 : 

=a" 
u(psn) = " pn (1.99 
其 中 ,p 入 分 别 是 P 所 获得 的 关于 Q 的 肯定 经 验 和 否定 经 验 数 。 

在 Beth 信任 管理 模型 中 ,经 验 可 以 通过 推荐 获得 。 而 对 于 同一 个 信任 关系 ,多 个 不 同 
的 经 验 推荐 者 可 能 形成 多 条 不 同 的 推荐 路 径 。 这 就 需要 有 一 个 计算 方法 能 够 推导 并 综合 所 
有 推荐 路 径 的 经 验 信息 ,以 获得 一 致 的 信任 度 。Beth 分 别 对 直接 信任 和 推荐 信任 进行 了 讨 
论 , 并 给 出 了 相应 的 信任 度 推 导 和 综合 计算 公式 。 假 设 A 对 B 的 推荐 信任 度 为 Vi,B 对 C 
的 直接 信任 度 为 V;,B 对 DD 的 推荐 信任 度 为 V;. 则 A 对 C 的 直接 信任 度 推 导 公式 表述 为 

V;OV, =1— (1—V)™ (1.10) 

A xf D 的 推荐 信任 度 可 以 简单 地 表述 为 Vi XVs 。Beth 模型 还 给 出 了 推荐 信任 度 综 合 
计算 公式 : 

Vas — LV, (1D 


其 中 ,V; 是 由 单个 推荐 路 径 推导 出 的 信任 度 ,综合 推荐 信任 度 Vs 是 这 些 单个 信任 度 的 简 
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单 算术 平均 。 设 Pi(i 二 1,2,… ,m) 是 推荐 路 径 上 各 不 相同 的 最 终 推荐 实体 ,Vj 表示 其 最 终 
推荐 实体 为 P 的 各 条 推荐 路 径 的 信任 度 . 则 直接 信任 度 综合 计算 公式 表述 为 


Vas =1 = [Iw a-v. 
i j=l 
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算 ;推荐 主要 用 于 信任 度 的 推导 计算 。 详 细 的 主观 逻辑 算 子 的 描述 参见 文献 [36] 。 

与 Beth 模型 相 比 ,Josang 模型 对 信任 的 定义 较 宽 松 ,同时 使 用 了 观念 空间 中 的 肯定 事 
件 和 和 否定 事件 对 信任 关系 进行 度量 。 模 型 没有 明确 区 分 直接 信任 和 推荐 信任 ,但 提供 了 推 
荐 算 子 用 于 信任 度 的 推导 。Josang 模型 的 信任 度 使 用 三 元 组 来 表示 ,而 不 是 Beth 模型 中 
的 单一 数值 。 但 Josang 模型 同样 无 法 有 效 地 消除 恶意 推荐 带 来 的 影响 。 另外 ,在 Josang 
信任 管理 模型 中 提供 了 一 套 主观 逻辑 算 子 ,用 于 信任 度 之 间 的 运算 ,因此 Josang 模型 实际 
上 也 认为 信任 的 主观 性 和 不 确定 性 与 随机 性 是 等 同 的 。 


1.2 信任 度 评估 


如 前 所 述 ,主观 信任 管理 所 关注 的 内 容 主要 有 信任 的 表述 信任 度量 和 信任 度 评估 ,其 
中 信任 度 评估 是 核心 。 信 任 度 评估 定义 了 信任 关系 的 量化 表示 方法 .操作 、 信 任 关 系 的 传递 
途径 和 计算 方法 。 信 任 度 评估 采用 一 种 相对 的 方法 对 安全 信息 进行 度量 和 评估 ,其 直接 目 
的 是 为 信任 决策 提供 支持 以 确立 信任 关系 ,与 安全 策略 的 实施 相 结合 可 以 构成 一 个 一 般 意 
义 上 的 信任 管理 系统 。 信 任 度 评估 可 以 抽象 地 理解 为 用 一 个 或 者 一 组 算法 对 影响 主体 信任 
度 的 相关 证 据 进行 处 理 并 获得 信任 度 的 过 程 。 


1.2.1 信任 度 评估 证 据 


目前 信任 度 评 估 所 依据 的 证 据 通常 有 两 类 , 即 任 证 证 据 和 行为 证 据 。 赁 证 证 据 是 指 网 
络 主体 所 拥有 的 某 些 数字 赁 证。 基于 凭证 证 据 的 信任 评估 通常 运用 在 安全 授权 、 访 问 控制 
及 信任 协商 等 系统 中 ,这 类 信任 度 评估 的 基本 思想 是 : 如 果 主 体 B 拥有 并 提供 主体 A 所 要 
求 的 相关 数字 凭证 ,那么 A 就 信任 B。 行为 证 据 是 指 可 证 明 网 络 主体 的 网 络 行为 的 事实 或 
者 记录 。 相 对 于 基于 和 凭证 证 据 的 信任 度 评估 ,有 人 将 基于 行为 证 据 的 信任 度 评 估 称 为 主观 
信任 度 评估 ,这 类 信任 度 评估 的 主要 思想 是 通过 考察 主体 过 去 的 行为 来 判断 是 否 信任 该 
主体 。 

在 进行 信任 度 评 估 时 需要 对 证 据 进行 处 理 , 其 基本 方法 是 根据 原始 证 据 提 取出 影响 目 
标 主 体 信任 度 的 因子 (本 书 称 之 为 信任 因子 ) ,并 根据 需要 选取 一 组 影响 因子 进行 信任 度 
评估 。 

现 有 信任 度 评估 模型 中 最 常 出 现 的 信任 因子 主要 有 交易 额 \ 交 易 量 、 交 易 时 间 、 交 易 结 
果 和 交易 评价 等 。 

CD 交易 额 和 交易 量 。 交 易 额 和 交易 量 是 对 货币 与 货物 的 计量 ,通常 情况 下 人 们 对 于 
交易 额 和 交易 量 较 高 的 交易 会 比较 重视 ,所 以 交易 额 和 交易 量 较 高 的 证 据 在 信任 评估 中 对 
于 信任 度 的 影响 程度 也 应 该 较 高 。 因 此 ,很 多 学 者 将 交易 额 和 交易 量 作 为 信任 因子 引入 自 
己 的 信任 评估 模型 中 。 另 外 ,网 络 上 的 交易 行为 不 仅 限于 货物 与 货币 的 交换 ,在 其 他 交易 活 
动 中 ,交易 额 和 交易 量 可 演化 为 其 他 标识 交易 重要 程度 的 变量 ,比如 在 网 格 计算 中 演化 为 运 
算 量 或 者 数据 交换 总 流量 等 。 

(2) 交易 时 间 。 随 着 时 间 的 推移 ,主体 在 某 一 时 刻 的 行为 对 于 主体 信任 的 支持 力度 将 
会 衰减 ,这 与 人 类 社会 中 人 与 人 之 间 的 信任 关系 的 特点 相 一 致 。 通常 情况 下 ,对 于 多 年 未 见 
并 失去 联系 的 老 友 , 我 们 可 能 很 难 像 以 前 那样 信任 他 了 。 因 此 在 很 多 信任 评估 模型 中 ,时 间 
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被 学 者 们 充分 重视 。 比 如 ,1994 年 ,Marsh" 在 其 提出 的 信任 模型 中 首次 强调 了 时 间 也 是 
计算 信任 值 的 一 个 关键 变量 ;2006 年 常 俊 胜 等 人 中 提出 了 一 种 基于 时 间 帧 的 动态 信任 模 
型 ,在 这 个 模型 中 时 间 因 子 的 重要 性 被 空前 重视 。 

(3) 交易 结果 和 交易 评价 。 交 易 结果 和 交易 评价 都 是 表现 交易 质量 的 信任 因子 ,是 业 
务 反馈 证 据 的 核心 内 容 , 是 信任 评估 的 直接 依据 。 二 者 有 关联 ,但 不 可 相互 蔡 代 ,交易 结果 
考察 当前 交易 是 否 成 功 完成 ,而 交易 评价 是 对 成 功 或 者 失败 的 交易 给 出 的 意见 ,交易 结果 固 
然 直接 影响 交易 评价 ,但 是 成 功 的 交易 并 不 一 定 获得 积极 的 评价 ,反之 亦 然 。 比 如 ,在 一 次 
没 能 最 终 完 成 的 交易 中 ,客户 可 能 因为 店主 热心 的 服务 而 给 出 积极 的 评价 ;反之 , 买 到 商品 
的 客户 可 能 因为 某 些 原因 给 出 消极 的 评价 。 

在 很 多 信任 度 评 估 模 型 中 提 到 了 直接 信任 和 间接 信任 的 概念 ,但 是 不 管 是 直接 信任 还 
是 间接 信任 ,其 根本 的 信任 影响 因子 无 外 乎 以 上 3 类 。 现 有 的 信任 评估 模型 几乎 都 是 基于 
以 上 3 类 信任 因子 进行 信任 度 评估 ,不 同 的 是 在 不 同 的 模型 中 可 能 包含 的 信任 因子 有 所 
不 同 。 


1.2.2 信任 度 评估 算法 设计 


算法 是 信任 度 评 估 的 又 一 核心 内 容 , 其 任务 是 对 获得 的 证 据 用 数学 方法 进行 处 理 并 计 
算 信 任 度 。 无 论 哪 一 个 信任 度 评估 模型 都 有 一 个 或 者 一 组 算法 。 经 过 大 量 的 调查 研究 ,本 
书 将 现 有 主要 的 信任 度 评估 算法 总 结 如 下 。 

1. 简单 加 和 法 或 加 权 平 均 法 

简单 加 和 法 是 指 对 选取 的 信任 因子 进行 量化 并 采用 求 和 的 方法 来 计算 信任 值 。 这 类 信 
任 度 评估 模型 选取 交易 评价 作为 信任 影响 因子 ,分 别 计算 正面 评价 和 负面 评价 各 自 的 总 数 
目 , 然 后 用 正面 评价 的 数目 减 去 负面 评 的 数目 作为 主体 的 信任 度 。eBay、Amazon 和 淘宝 等 
电子 商务 网 站 的 名 声 系 统 使 用 的 就 是 简单 加 和 法 。 此 外 ,也 有 学 者 将 正面 评价 占 总 评价 数 
的 比例 作为 主体 的 信任 度 ,因为 这 类 方法 在 计算 正面 评价 和 负面 评价 的 数目 时 也 是 采用 简 
单 加 和 的 方法 ,所 以 本 书 将 之 归 类 为 简单 加 和 法 。 

加 权 法 本 质 上 与 简单 加 和 法 一 致 ,不 同 点 在 于 ,加 权 法 区 别 对 待 每 一 条 证 据 , 以 一 定 的 
标准 将 证 据 分 类 并 赋予 不 同 的 权重 ,最 后 基于 这 些 权重 对 证 据 数据 进行 合成 。 不 同 的 信任 
度 模型 对 于 证 据 的 分 类 方法 以 及 权重 的 设置 方法 可 能 大 不 相同 。 比 如 ,Abdul-Rahman 等 
人 5 将 交易 记录 分 为 直接 经 验 和 推荐 经 验 , 把 通过 直接 经 验 计 算 的 信任 值 称 为 信任 ,把 通 
过 推荐 经 验 获 得 的 信任 值 称 为 声望 ,再 用 加 权 的 方法 把 这 两 个 值 合并 成 信任 度 。 

2. 贝 叶 斯 法 

贝 叶 斯 法 是 指 利用 贝 叶 斯 网 络 (Bayesian network) 来 描述 不 同 的 信任 因子 ,并 将 这 些 
因子 合成 起 来 以 获得 信任 值 。 贝 叶 斯 网 络 亦 称 信念 网 络 (belief network) , 它 是 一 种 模拟 人 
类 因果 推理 思维 过 程 的 模型 。 贝 叶 斯 法 为 信任 度 评 估 提 供 了 更 为 合理 的 理论 基础 ,但 是 该 
算法 相对 复杂 且 难 于 理解 。 

A. Josang 在 其 提出 的 基于 贝 叶 斯 网 络 的 信任 模型 中 中 ,将 正面 和 负面 的 评价 作为 输 
入 ,并 通过 beta 概率 密度 函数 的 统计 更 新 来 计算 信任 度 。 在 文献 [21] 中 ,Wang 等 人 提出 了 
利用 贝 叶 斯 网 络 来 描述 影响 信任 度 的 不 同 因子 ,并 将 这 些 因 子 合成 起 来 。 该 文献 中 选取 的 
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信任 因子 包括 用 户 对 自己 节点 的 信任 、 对 服务 提供 者 的 信任 、 对 提供 推荐 的 节点 的 信任 以 及 
对 所 在 团体 的 信任 等 。 陈 建 刚 等 人 5 以 网 格 应 用 为 前 提 提 出 了 一 个 基于 贝 叶 斯 网 络 的 信 
任 模型 ,该 模型 依赖 于 在 选取 的 信任 链 路 上 的 所 有 节点 处 获得 的 目标 节点 的 相关 属性 ,合并 
这 些 属性 以 计算 信任 值 。 该 模型 中 ,信任 链 路 的 选择 以 及 最 终 合并 相关 属性 均 基 于 贝 叶 斯 
方法 。 

3. 模糊 逻辑 推理 法 

基于 模糊 逻辑 (fuzzy logic) 的 信任 模型 使 用 语言 上 的 模糊 概念 来 表示 信任 和 信誉 ,使 用 
隶属 函数 来 描述 主体 的 信任 等 级 ,并 将 模糊 逻辑 作为 模糊 值 的 推理 规则 。 

Song 等 人 中 提出 的 PowerTrust 系统 就 是 一 个 基于 模糊 多 辑 推理 的 信任 评估 系统 。 
虽然 PowerTrust 在 最 后 计算 信任 值 的 时 候 使 用 的 是 加 权 平 均 法 ,但 是 权重 的 分 配 是 通过 
模糊 方法 计算 获得 的 , 即 由 节点 的 信用 值 、 交 易 的 时 间 和 交易 的 数量 这 3 个 变量 的 模糊 值 来 
确定 权重 。Ramchurn 等 人 5 利用 模糊 集 来 指引 网 络 主体 对 过 去 的 交易 进行 评价 并 重新 评 
估 彼 此 之 间 的 信任 关系 。 该 模型 基于 置信 度 和 信誉 值 , 其 中 置信 度 通过 分 析 某 个 主体 的 交 
易 历 史 来 获取 ,信誉 值 通过 分 析 从 网 络 中 其 他 主体 处 获取 的 经 验 获得 。 国 内 学 者 唐 文 等 
人 55 也 提出 了 基于 模糊 集合 理论 的 信任 评估 模型 ,该 模型 提出 了 一 种 信任 的 度量 机 制 , 运 
用 模糊 IF-THEN 规则 ,对 人 类 信任 推理 的 一 般 知识 和 经 验 进行 了 建 模 ,提出 了 一 种 灵活 直 
观 , 具 有 很 强 描述 能 力 的 形式 化 的 信任 推理 机 制 。 

4. 基于 D-S 证 据 理论 的 证 据 合 成 法 

D-S 证 据 理论 (evidence theory) 是 与 概率 论 相关 的 理论 框架 ,但 所 有 可 能 结果 的 概率 
和 没 必要 一 定 为 1, 剩 余 的 概率 可 以 看 作 是 不 确定 性 。D-S 证 据 理论 采用 信任 函数 作为 度 
量 , 不 必 给 出 精确 的 难以 获取 的 概率 ,可 以 不 需要 给 出 先 验 概率 和 条 件 概 率 密度 ,具有 处 理 
随机 性 和 模糊 性 所 导致 的 不 确定 性 的 双重 功能 ;D-S 证 据 理 论 将 “不 确定 "和 "不 知道 ”区 分 
开 来 ,符合 人 类 思维 习惯 中。 基于 D-S 证 据 理论 的 信任 度 评 估 模 型 已 经 在 1.2 节 中 做 了 详 
细 介 绍 ,此 处 不 再 袭 述 。 

除了 以 上 几 类 算法 外 ,还 有 其 他 信任 算法 ,如 利用 代数 符号 或 图 形 等 表达 信任 产生 和 传 
递 过程 的 算法 ,基于 焊 论 . 半 环 代数 理论 和 博弈 论 等 的 方法 ,因为 基于 这 些 方法 研究 信任 
度 评 估 的 成 果 不 多 ,所 以 不 再 一 一 介绍 。 


1.2.3 信任 度 评估 模型 分 类 


依据 部 署 模式 可 以 将 基于 行为 证 据 的 信任 度 评估 模型 分 为 集中 式 信任 度 评估 模型 和 分 
布 式 信任 度 评估 模型 两 种 。 不 同 的 部 署 模式 直接 影响 信任 评估 参与 者 之 间 的 数据 交换 模式 
以 及 整个 信任 评估 系统 的 数据 传输 .数据 存储 和 信任 计算 等 工作 模式 。 

1. 集中 式 信任 度 评估 模型 

集中 式 信任 度 评估 模型 基于 固定 的 处 理 中 心 实现 信任 评估 ,我 们 称 这 个 固定 的 处 理 中 
心 为 信任 中 心 。 信 任 中 心 采用 集中 的 方式 获得 信任 信息 , 它 自身 可 以 获得 全 局 信息 (比如 交 
易 中 心 对 交易 的 记录 ) 或 者 通过 收集 用 户 的 反馈 信息 实现 信任 评估 (比如 电子 市 场 的 信誉 
系统 )。 

集中 式 信任 度 评估 系统 原理 如 图 1. 1 所 示 。 在 集中 式 信任 度 评估 系统 中 ,存在 一 个 或 
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者 少数 几 个 中 心 实体 负责 收集 网 络 参与 实体 的 历史 交易 记录 信息 ,以 这 些 记录 为 证 据 进行 
信任 度 评估 ,并 管理 和 发 布 网 络 中 实体 的 信任 度 。 在 一 定 的 网 络 应 用 环境 中 ,其 他 参与 者 可 
以 向 信任 中 心 请 求 相关 主体 的 信任 信息 ,并 根据 信任 度 进行 交易 决策 。 通 常情 况 下 ,拥有 高 
信任 度 的 主体 可 以 获得 更 多 的 交易 机 会 。 
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i 交易 
rij ii 
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1.1 集中 式 信任 度 评估 系统 原理 简 图 


早期 的 信任 模型 大 多 采用 集中 式 部 署 模式 ,比较 著名 的 集中 式 信任 度 评 估 模 型 有 
Marsh 的 信任 模型 、Y. Teng 等 人 基于 D-S 理论 的 信任 模型 .Ginsberg 的 模型 和 Manchala 
提出 的 基于 模糊 迎 辑 的 信任 模型 等 。 目 前 基于 集中 式 的 信任 系统 广泛 应 用 于 电子 商务 领 
域 ,比如 著名 的 eBay, Amazon 和 淘宝 等 网 站 采用 的 在 线 信誉 评估 系统 都 属于 此 类 信任 度 评 
估 模 型 。 

集中 式 信任 度 评 估 模 型 的 主要 特点 是 模型 比较 简单 ,易于 实现 ,但 同时 也 存在 一 些 问 
题 ,比如 这 一 类 模型 对 信任 中 心 的 效率 性 可靠 性 和 可 信 性 的 要 求 都 相当 高 ,然而 信任 中 心 
又 必然 是 最 繁忙 .最 容易 成 为 攻击 目标 的 节点 。 

2. 分 布 式 信 任 度 评估 模型 

分 布 式 信任 度 模型 中 不 存在 类 似 于 集中 式 信任 度 评估 模型 中 的 信任 中 心 ,信任 度 评估 
的 证 据 搜 集 、 处 理 及 信任 度 的 计算 和 管理 以 分 布 式 的 方式 由 网 络 实体 自身 来 完成 。 分 布 式 
信任 模型 更 加 类 似 于 人 类 社会 的 信任 建立 方式 ,评估 所 依赖 的 证 据 依然 是 交易 反馈 证 据 , 评 
估算 法 也 无 外 乎 前 面 介 绍 的 那些 算法 。 

分 布 式 信任 度 评 估 系 统 原理 如 图 1. 2 所 示 ,关于 历史 交易 的 记录 由 各 个 网 络 主体 自己 
保存 , 当 需 要 进行 新 的 交易 时 ,网 络 主体 C 根据 本 地 存储 的 关于 D 的 交易 记录 和 通过 其 他 
主体 获得 的 关于 D 的 交易 记录 来 评估 D 的 信任 度 ,主体 D 以 同样 的 方式 对 C 做 信任 度 评 
fh ,在 信任 度 评估 的 基础 上 双方 建立 信任 关系 。 

在 P2P、 网 格 计算 ,移动 自动 组 网 、 普 适 计算 和 传感器 网 络 等 应 用 中 .分布 式 信 任 度 评估 
模型 得 到 了 充分 重视 ,也 逐渐 成 为 研究 热点 。 比 较 著 名 的 分 布 式 信任 度 评 估 模 型 主要 有 T. 
Beth 等 人 提出 的 信任 度 评估 模型 Abdul-Rahman 等 人 提出 的 信任 度 评估 模型 、A. Josang 
提出 的 主观 逻辑 信任 度 评估 模型 .George 等 人 提出 的 基于 半 环 代数 理论 的 信任 度 评估 模型 
以 及 Kamvar 等 人 提出 的 通过 局 部 信任 值 迭代 来 计算 节点 的 全 局 信任 值 的 EigenRep 等 。 

然而 ,分 布 式 信任 度 评 估 模 型 的 研究 还 处 于 起 始 阶段 ,模型 复杂 多 样 且 实现 存在 问题 ， 
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(a) 交易 历史 (b) 当前 交易 
1.2 分 布 式 信任 度 评估 系统 原理 简 图 


主体 之 间 的 信任 关系 定义 比较 混乱 ,模型 性 能 评价 存在 困难 ,因此 在 事务 中 还 没有 出 现成 功 
使 用 分 布 式 信任 度 评估 模型 的 案例 。 


1.3 信任 协商 


1.3.1 信任 协商 概述 


在 跨 域 网 络 协同 环境 中 ,由 于 交互 主体 间 的 生 朴 性 以 及 共享 资源 的 敏感 性 ,陌生 的 主体 
之 间 很 难 建立 信任 关系 。 在 信任 管理 系统 中 ,资源 访问 请 求 方 所 提供 的 信任 证 和 资源 提供 
方 所 提供 的 策略 都 可 能 涉及 敏感 信息 ,因此 在 建立 信任 的 同时 ,需要 有 效 保障 各 方 信息 的 隐 
私 需求 和 披露 自治 性 。 为 了 解决 上 述 问 题 ,2000 年 Winsborough 等 人 提出 了 “自动 信任 协 
ifj" CAutomated Trust Negotiation, ATN) 的 概念 , 它 是 “通过 凭证 ,访问 控制 策略 的 交互 披 
露 ,资源 的 请 求 方 和 提供 方 自动 地 建立 信任 关系 "中 ”。 目 前 ,自动 信任 协商 作为 一 种 新 的 信 
任 管理 方法 ,其 相关 研究 已 得 到 迅速 发 展 ,并 成 为 当前 的 一 个 重要 研究 方向 ,其 研究 和 应 用 
在 国际 上 备 受 关注 。 

自动 信任 协商 主要 研究 跨 安全 域 的 信任 建立 问题 ,而 跨 域 的 联合 协作 往往 属于 组 织 频 
繁 变化 的 活动 ,下 面 结合 例 1. 1 简要 说 明 信 任 协商 需要 解决 的 主要 问题 ,并 由 此 引出 信任 协 
商 应 用 系统 的 基本 框架 。 

例 1.1 (医疗 紧急 救助 ) 在 对 Alice 实施 的 一 次 医疗 急救 中 ,急救 中 心 FirstAid 需要 
向 Alice 曾 就 医 的 医院 Hospital 请 求 访问 其 电子 病历 R, 然 而 ,R 涉及 Alice 的 个 人 隐私 信 
息 , 属 于 敏感 资源 ,所 以 , Hospital 制定 了 相应 的 保护 资源 R 的 访问 控制 策略 : 只 有 Alice 
本 人 及 急救 中 心 才能 调 阅 R。 在 协议 消息 交互 过 程 中 ,各 方 会 根据 其 独立 的 协商 策略 
(strategy) 披 露 相 应 的 消息 项 ,例如 ,FirstAid 只 要 提交 当地 卫生 署 为 其 签发 的 急救 中 心 信 
任 证 ,就 能 快速 地 访问 到 病历 R。 

因此 ,建立 跨 安全 域 之 间 的 信任 通常 面临 着 以 下 几 个 重要 问题 : 

CD 当 隶 属 类 似 于 例 1. 1 中 的 机 构 FirstAid 和 Hospital 两 个 独立 安全 域 的 陌生 主体 进 
行 资 源 访问 时 ,如 何 提供 一 种 有 效 的 方法 和 机 制 , 以 动态 地 建立 两 者 的 信任 关系 ? 

(2) 当 开 放 网 络 中 的 协商 主体 在 维护 其 自治 性 和 隐私 性 时 ,需要 什么 样 的 访问 控制 策 
略 和 信任 证 (如 例 1.1 中 Hospital 制定 的 访问 控制 策略 和 FirstAid 拥有 的 信任 证 )? 


T 
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(3) 对 资源 的 访问 控制 结论 不 再 是 单纯 的 Yes 或 No, 需 要 根据 各 自 的 协商 策略 给 出 相 
应 的 提议 ,以 支持 进一步 的 协商 : 既 要 实施 信息 保护 ,又 要 达成 联合 协作 。 因 此 ,如 何 建立 
协商 策略 机 制 以 兼顾 二 者 的 要 求 ? 

(4) 此 外 ,信任 的 建立 将 依赖 于 一 套 完整 的 协议 ,例如 在 例 1. 1 中 体现 为 机 构 FirstAid 
fll Hospital 的 消息 交互 过 程 。 

为 了 解决 这 些 问 题 ,自动 信任 协商 研究 工作 需要 涵盖 以 下 4 个 方面 的 主要 内 容 : 体系 
结构 及 基础 模型 .访问 控制 策略 及 信任 证 ,协商 策略 .协商 协议 。 根 据 上 面 实例 中 讨论 的 应 
用 需求 ,图 1. 3 给 出 了 一 个 自动 信任 协商 应 用 系统 的 基本 框架 。 


应 用 服务 器 
服务 器 端 证 书 


凭证 访问 

控制 策略 
服务 /资源 访 
问 控制 策略 


客户 端 


、 EI 
凭证 访问 安全 代理 x E 
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服务 请 求 


收 到 服务 器 端 
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1.3 自动 信任 协商 系统 的 基本 框架 


1.3.2 信任 协商 关键 技术 


从 图 1.3 中 可 知 ,一 个 自动 信任 协商 系统 的 基本 要 素 包括 信任 赁 证、 访问 控制 策略 .一 
致 性 校 验 器 和 信任 协商 策略 等 ,这 些 基 本 要 素 涉及 的 技术 也 是 信任 协商 中 的 关键 技术 。 

1. 信任 凭证 

信任 凭证 是 证 书 颁发 者 对 证 书 持 有 者 的 一 个 带 有 数字 签名 的 断言 。 利 用 现在 的 加 密 技 术 
可 以 保证 证 书 不 可 伪造 并 且 能 够 验证 。 证 书 是 利用 颁发 者 的 私 钥 签名 并 可 以 使 用 颁发 者 的 公 
钥 进 行 验证 的 。 一 个 证 书包 含 了 证 书 持 有 者 的 一 个 或 者 多 个 属性 ,属性 是 由 “名 称 / 值 ” 对 构成 
的 颁发 者 对 持 有 者 的 一 些 属性 描述 。 每 一 个 证 书 也 包含 了 证 书 持 有 者 的 公 钥 。 证 书 持 有 者 可 
以 通过 私 钥 来 证 明 自 己 对 证 书 的 所 有 权 , 也 可 以 利用 自己 的 私 钥 为 第 三 方 颁发 证 书 。 

证 书 链 的 建立 是 通过 A 给 B 颁发 证 书 ,而 B 又 以 此 证 书 为 签名 为 C 颁 发 证 书 的 过 程 实 
现 的 。 通 过 证 书 链 的 形式 ,总 可 以 追溯 到 一 个 已 经 熟识 的 实体 ,这 个 实体 拥有 此 证 书 链 的 根 
证 书 。 而 拥有 证 书 链 最 后 一 个 证 书 的 主体 则 是 需要 取得 信任 的 主体 "9 。 

2. 访问 控制 策略 

在 自动 信任 协商 中 ,无 论 是 服务 、 资 源 还 是 凭证 都 可 以 是 受 保护 的 。 可 以 为 其 定义 相应 
的 访问 控制 策略 。 这 一 点 继承 了 信任 管理 的 机 制 , 受 保护 的 对 象 增多 了 。 在 自 适应 信任 协 
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商 中 ,根据 保护 对 象 的 不 同 可 以 将 访问 控制 策略 分 为 两 种 : 服务 控制 策略 C Service 
Governing Policy,SGP) 和 凭证 访问 策略 (Credential Access Policy, CAPOU? 。 前 者 用 于 保 
护 敏 感 的 服务 或 资源 ,后 者 的 保护 对 象 是 包含 敏感 信息 的 信任 凭证 。 虽然 这 两 种 策略 所 保 
护 的 对 象 是 不 同 的 ,但 策略 内 容 是 相同 的 ,它们 都 规定 了 对 方 所 提交 的 凭证 满足 什么 样 的 要 
求 才能 够 访问 其 保护 的 对 象 。 服 务 控 制 策略 是 服务 提供 者 为 其 所 提供 的 服务 (或 资源 ) 指 定 
相应 的 访问 控制 策略 , 当 请 求 者 对 这 些 资源 提出 访问 请 求 后 ,服务 提供 者 会 要 求 请 求 者 提交 
相应 的 证 书 来 满足 其 访问 请 求 所 对 应 的 访问 控制 策略 。 和 凭证 访问 策略 则 是 信任 协商 者 为 敏 
感 的 信任 凭证 所 定义 的 访问 控制 策略 。 

3. 一 致 性 校 验 器 

一 致 性 校 验 器 是 信任 协商 的 重要 组 成 部 分 , 它 可 以 判定 给 定 的 信任 凭证 是 否 能 够 满足 
针对 请 求 资 源 的 本 地 策略 ,从 而 决定 是 否 允 许 对 方 访问 资源 。 在 一 致 性 校 验 器 验证 证 书 是 
和 否 满足 访问 控制 策略 时 ,一致 性 校 验 器 首先 验证 信任 凭证 的 有 效 性 ,进行 匹配 时 过 滤 掉 无 效 
的 证 书 。 

传统 的 一 致 性 校 验 器 实现 其 基本 功能 。 当 一 致 性 校 验 器 收 到 一 组 信息 时 ,信息 内 容 主 
要 包括 信任 凭证 集合 .访问 控制 策略 以 及 对 某 资 源 或 服务 的 请 求 ,一致 性 校 验 器 检验 凭证 是 
否 有 效 , 有 效 凭证 集合 是 否 满足 本 地 的 访问 控制 策略 。 根 据 验 证 的 结果 对 请 求 者 的 请 求 作 
出 响应 ,决定 对 请 求 者 提供 什么 样 的 服务 ,或 者 是 否 提 供 服 务 。 

自动 信任 协商 对 一 致 性 校 验 器 提出 了 更 高 的 要 求 , 自 适应 信任 协商 要 求 协商 双方 在 一 
致 性 校 验 失败 时 , 即 对 方 提 供 的 信任 凭证 不 能 满足 本 地 的 访问 控制 策略 时 ,给 对 方 有 价值 的 
反馈 信息 引导 信任 协商 的 进行 ,由 于 满足 一 条 访问 控制 策略 的 信任 凭证 集合 往往 不 止 一 个 ， 
所 以 当 一 方 提供 的 凭证 集合 不 能 满足 对 方 的 访问 控制 策略 时 ,并 不 代表 此 次 协商 没有 成 功 
地 路 径 , 这 时 需要 给 提供 凭证 的 一 方 有 价值 的 反馈 信息 才能 引导 信任 协商 的 继续 。 


4. 协商 策略 

在 信任 协商 框架 中 ,协商 策略 引导 一 个 信任 协商 的 成 功 。 协 商 策略 控制 暴露 哪些 证 书 ， 
什么 时 候 暴露 这 些 证 书 ,请求 哪些 证 书 来 解锁 本 地 的 证 书 。 并 不 是 所 有 的 情况 下 信任 协商 
都 能 成 功 。 信 任 协 商 过 程 中 可 能 存在 以 下 情况 ,协商 一 方 不 具备 需要 的 证 书 , 双 方 的 证 书 的 
访问 控制 策略 存在 循环 依赖 。 协 商 策略 决定 请 求 者 什么 时 候 放弃 协商 会 话 。 协 商 策略 必须 
具备 以 下 特性 : 首先 必须 具备 完整 性 , 当 一 次 协商 存在 成 功 的 路 径 时 ,协商 策略 能 够 引导 协 
商 成 功 地 进行 , 当 协商 不 能 成 功 时 ,能 够 终止 信任 协商 ,避免 暴露 不 必要 的 信任 赁 证。 协商 
策略 还 应 该 具备 高 效 性 。 一 个 协商 策略 是 一 个 函数 ,输入 是 当前 的 协商 状态 ,输出 是 一 方向 
另 一 方 显示 的 一 个 信任 凭证 和 访问 控制 策略 的 集合 。 

Winsborough 等 人 在 文献 [29] 中 介绍 了 两 种 协商 策略 : 热心 策略 和 音 音 策略 。 热 心 策 
略 中 ,双方 互相 发 送 自己 不 受 保护 的 证 书 : 从 而 进一步 解锁 更 多 的 证 书 , 当 客户 端 收 到 的 证 
书 无 法 再 解锁 更 多 的 证 书 且 无 法 满足 服务 访问 控制 策略 时 终止 信任 协商 。 证 书 交换 的 次 数 
依赖 于 双方 拥有 的 证 书 数 量 , 以 及 双方 最 长 的 证 书 依赖 链 长 度 。 音 再 策略 中 ,首先 披露 服务 
访问 请 求 以 及 服务 访问 控制 策略 。 如 果 请 求 方 存在 满足 服务 访问 控制 策略 的 证 书 集 , 且 证 
书 集 不 敏感 , 则 披露 证 书 集 。 和 否则 披露 对 应 的 访问 控制 策略 ,服务 方 做 同样 的 处 理 , 披 露 足 
够 的 访问 控制 策略 直到 存在 不 受 保护 的 证 书 可 以 满足 策略 。 当 存在 满足 策略 的 不 受 保护 证 
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书 时 ,请 求 方 重新 发 送 先前 的 请 求 ,披露 相应 的 证 书 来 解锁 这 些 请 求 。 

Yu 等 人 5 在 对 上 述 两 类 策略 进行 研究 的 基础 上 ,提出 了 削减 (prunes) 协 商 策略 ,该 策 
略 属于 一 种 改进 型 的 回溯 策略 , 按 深度 优先 方式 对 “安全 披露 序列 ”空间 进行 搜索 。 由 于 削 
减 策略 是 一 种 暴力 搜索 策略 ,虽然 完备 ,但 搜索 代价 颇 为 昂贵 。 


1.8.3 信任 协商 方案 


目前 ,信任 协商 作为 一 种 新 的 信任 管理 方法 得 到 了 国际 学 术 界 的 广泛 关注 ,并 成 为 当前 
的 一 个 重要 研究 方向 。BYU (Brigham Young University) 的 ISRL 实验 室 的 Seamons 和 
UIUC 大 学 Winslett 等 人 联合 承担 了 ATN 的 研究 项 目 TrustBuilderc ,他 们 开展 了 大 量 
的 研究 工作 ,奠定 了 扎实 的 应 用 基础 。 意 大 利 Milan 大 学 数据 库 与 安全 实验 室 提出 了 适用 
于 P2P 环境 的 信任 协商 框架 Trust- XH ,研究 了 支持 信任 协商 各 个 阶段 的 管理 平台 。 此 
外 ,IBM 公司 Haifa 研究 院 的 TrustEstablishment 项 A2, 4 E Hannover 大 学 的 
PeerTrust 项 目 3 也 在 积极 从 事 相 关 的 研究 和 应 用 工作 。 


1. TrustBuilder?99 

杨 百 翰 大 学 (BYU) 的 互联 网 安全 研究 室 (Internet Security Research Lab. ISRLO WA 
出 了 一 种 支持 安全 代理 (Security Agent. SA) 之 间 的 信任 协商 系统 , 称 为 TrustBuilder 系 
统 。 每 个 SA 包含 访问 控制 策略 、 被 保护 的 资源 以 及 信任 协商 中 间 件 。 访 问 控 制 策略 管理 
需 保 护 的 资源 ,其 中 被 保护 资源 有 服务 、 凭 证 和 访问 控制 策略 ;信任 协商 中 间 件 包括 协商 管 
理 , 策 略 独立 .语言 独立 的 协商 协议 以 及 协商 策略 库 。 其 中 信任 协商 协议 定义 交换 消息 的 顺 
FF. .消息 内 容 及 信息 类 型 ,从 而 保证 了 TrustBuilder 结构 中 所 定义 策略 的 互 操作 性 ;信任 协 
商 策略 决定 凭证 是 否 与 当前 协商 阶段 有 关 以 及 控制 交换 消息 的 内 容 , 如 公开 哪些 资源 ,什么 
时 候 公开 资源 ,什么 时 候 终止 协商 等 。TrustBuilder 系统 采用 绑 定 树 策略 集 (Binding Tree 
Strategy, BTS) ,从 而 保证 最 大 程度 上 满足 所 需 策略 。 在 TrustBuilder 系统 中 ,协商 双方 均 
有 一 个 管理 协商 的 安全 代理 ,用 于 调节 访问 被 保护 的 资源 。 在 协商 过 程 中 ,安全 代理 通过 本 
地 策略 决定 下 一 步 公 开 哪 些 策略 ,接收 哪些 新 策略 ,以 及 是 否 终止 信任 协商 。TrustBuilder 
系统 的 安全 代理 框架 如 图 1.4 所 示 o 
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图 1.4 TrustBuilder 的 安全 代理 框架 
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2. TrustEstablishment?? 

TrustEstablishment 系统 是 IBM 公司 的 海 发 研究 实验 室 (Haifa Research Lab) WRA 
员 提 出 的 ,该 系统 建立 的 前 提 条 件 之 一 就 是 任何 时 候 都 可 以 公开 所 需要 的 凭证 , 它 是 根据 规 
定 约束 公 钼 证 书 内 容 的 策略 在 陌生 人 之 间 建 立信 任 的 系统 。TrustEstablishment 系统 的 实 
体 包括 资源 持 有 者 .请求 者 和 凭证 发 布 者 ;TrustEstablishment 系统 的 数字 凭证 包括 发 布 者 
的 公 钥 .请求 者 的 公 钥 .凭证 类 型 和 和 凭证 版 本 等 内 容 ;TrustEstablishment 系统 的 信任 策略 
语言 (Trust Policy Language,TPL) 采 用 XML 语言 格式 ,利用 XML 的 灵活 性 对 安全 信息 
及 策略 进行 编码 ,主要 在 分 布 式 环境 中 说 明和 管理 基于 角色 的 访问 控制 。 基 于 角色 的 访问 
控制 的 工作 过 程 ,系统 先 检 测 数字 凭证 ,然后 按 规则 将 凭证 持 有 者 映射 成 角色 ,其 中 角色 是 
指 代表 一 定 组 织 的 实体 ,策略 主要 描述 实体 与 角色 的 映射 规则 。 

TrustEstablishment 系统 包括 4 个 主要 部 件 : 凭证 库 、 策 略 引 擎 .智能 凭证 收集 器 以 及 
凭证 数据 库 。 赁 证 库 用 于 存放 有 关 的 数字 凭证 ;策略 引擎 是 TrustEstablishment 系统 的 核 
心 部 分 ,其 功能 是 决定 一 个 实体 能 否 映射 成 一 个 策略 群 组 ;智能 凭证 收集 器 可 自动 从 凭证 库 
中 找 回 丢失 的 凭证 并 允许 使 用 标准 浏览 器 ,但 是 浏览 器 只 能 通过 一 个 凭证 访问 服务 器 ,所 以 
说 TrustEstablishment 系统 最 大 特点 就 是 支持 传递 策略 和 发 现任 证 链 。 凭 证 数据 库 用 于 存 
放 与 策略 有 关 的 数据 ,例如 客户 端 凭证 、 凭 证 的 发 布 者 及 其 他 数据 。 

由 于 TrustEstablishment 系统 建立 的 前 提 条 件 是 任何 时 候 可 公开 所 需 凭证 ,所 以 该 系 
统 的 隐私 保护 机 制 不 是 很 好 ,同时 在 TPL 语言 和 系统 结构 设计 上 没有 敏感 性 策略 的 概念 。 

3. Trust- X8" 

Trust-X 是 Elisa Betino 等 人 提出 的 一 种 适用 于 P2P 环境 的 信任 协商 模式 。 上 面 提 到 
的 信任 协商 系统 都 考虑 到 策略 和 信任 凭证 说 明 ,协商 策略 的 选择 ,但 是 缺少 一 个 好 的 协商 管 
理 平台 对 信任 协商 的 各 个 阶段 进行 说 明 。Trust-X 系统 正好 弥补 了 这 一 缺点 。 它 对 信任 协 
商 过 程 的 所 有 阶段 进行 考虑 并 且 提 出 了 一 个 信任 协商 的 综合 解决 方法 。 

TrustX 协商 框架 如 图 1. 5 Bros ,该 结构 是 均衡 对 等 的 , 它 支持 的 主要 功能 有 : 策略 互 
换 ,测定 一 个 策略 是 否 可 以 得 到 满足 、 支 持 凭 证 和 信任 票 互 换 及 序列 缓存 ,结构 中 的 一 个 部 
件 支持 一 种 功能 ,如 序列 预 置 模块 用 于 存储 最 近 成 功 协商 过 的 信任 队列 ,当下 次 实体 请 求 某 
资源 进行 协商 时 , 若 序列 预 置 模块 中 存在 相似 的 信任 协商 序列 , 则 从 中 选择 序列 进行 协商 ， 
从 而 加 快 协商 速度 ;协商 树 管理 器 用 于 记录 信任 协商 过 程 中 每 一 个 协商 状态 ,通过 一 定 算 
法 ,在 协商 树 中 可 以 找 出 一 种 或 多 种 信任 协商 序列 ;一致 性 校 验 器 包括 一 个 凭证 验证 模块 ， 
对 接收 的 凭证 作 有 效 性 检查 ,其 目的 是 在 必要 的 情况 下 验证 文档 签名 、 信 任凭 证 的 撤回 以 及 

该 系统 还 具有 许多 独特 的 功能 ,比如 支持 信任 票 、 支 持 敏 感性 策略 保护 支持 预 置 策略 
以 及 策略 选择 等 功能 。 信 任 票 也 是 一 种 凭证 , 当 协 商 双方 成 功 协商 后 ,该 系统 会 给 双方 发 送 
一 个 信任 票 , 当 以 后 双方 再 次 为 某 资源 协商 时 ,系统 会 先 检 测 双方 是 否 存在 信任 票 , 若 存在 
信任 票 的 情况 ,说 明 双方 已 经 建立 过 信任 ,从 而 不 必 进 行 信任 协商 就 可 获取 资源 ,这 就 加 快 
了 协商 进程 。 但 是 信任 票 的 有 效 性 是 有 时 间 限 制 的 ,这 个 时 间 限 制 主要 取决 于 双方 的 属性 
特征 ,只 有 当 信任 票 处 于 有 效 期 内 ,信任 票 才 有 效 。TrustX 系统 还 引入 了 预 置 策略 的 概 
念 , 它 是 指 公 开 策 略 B 之 前 必须 先 公开 策略 A,. 此 时 称 策 略 A 是 策略 B 的 预 置 策略 ,从 而 保 
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1.5 TrustX 信任 协商 框架 


护 敏感 性 的 公开 策略 。 

TrustX 的 语言 称 为 X-TNL 语言 , 它 与 TPL 语言 一 样 都 是 基于 XML 编码 的 ,用 来 描 
述 Trust-X 数字 凭证 和 公开 策略 ,也 就 是 说 在 X-TNL 中 ,一 个 信任 凭证 的 类 型 是 DTD fi 
式 , 但 X-TNL 语言 支持 上 面 所 提 到 的 信任 票 。Trust-X 系统 支持 阶段 性 协商 ,协商 方 持 有 
信任 票 协商 可 直接 获得 资源 。 

模块 中 存 有 相似 协商 序列 的 协商 也 可 快速 获取 资源 ,但 是 对 于 敏感 度 高 的 资源 则 必须 
进入 策略 评估 阶段 ,从 敏感 性 低 的 策略 逐步 向 敏感 性 高 的 策略 协商 。 


1.4 本 章 小 结 


本 章 对 信任 管理 的 思想 方法 和 技术 要 领 进行 了 简明 扼要 的 益 述 ,首先 介绍 了 信任 和 信 
任 管理 的 基本 概念 ,讨论 了 信任 管理 的 产生 背景 .基本 内 涵 、 主 要 内 容 以 及 国内 外 研究 现状 。 
目前 信任 度 评估 和 信任 协商 是 信任 管理 领域 的 两 个 重要 研究 方向 ,本 章 概要 地 讨论 了 信任 
度 评估 涉及 的 主要 内 容 , 介 绍 了 信任 协商 的 基本 概念 ,关键 技术 和 解决 方案 ,以 为 本 书后 续 
章节 作 铺 垫 。 
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第 2 章 基于 多 维和 证 据 的 信任 度 和 评估 模型 


在 第 1 章 中 介绍 了 信任 度 评估 的 主要 思想 方法 ,信任 度 评估 是 基于 行为 的 信任 管理 模 
型 关注 的 核心 内 容 。 近 年 来 ,众多 学 者 在 该 领域 做 了 许多 有 益 的 研究 ,也 提出 了 不 少 信 任 度 
评估 模型 ,但 总 体 来 看 ,这 些 模 型 一 般 都 只 是 把 网 络 主体 参与 特定 交易 的 交易 反馈 信息 作为 
评估 的 基础 数据 来 源 , 而 没有 考虑 主体 通过 技术 手段 实施 的 网 络 操作 行为 ,使 得 信任 度 评估 
所 依据 的 证 据 源 不 够 完备 。 

本 章 提出 一 种 基于 多 维 证 据 的 信任 度 评估 模型 ,该 模型 将 主体 的 网 络 操作 行为 层面 的 
信息 引入 传统 仅 考虑 交易 反馈 信息 的 信任 度 评估 模型 ,基于 交易 反馈 和 网 络 操 作 行为 两 个 
层面 的 多 维 证 据 源 进行 信任 计算 ,扩展 了 证 据 源 ,突破 了 只 依据 单一 种 类 证 据 源 进行 信任 评 
估 而 引起 的 缺陷 ;另外 ,我 们 应 用 改进 的 D-S 证 据 理论 来 合成 多 维 证 据 ,能 够 很 好 地 解决 证 
据 不 确定 性 的 问题 。 


2.1 多 维 证 据 


第 1 章 已 经 介绍 了 信任 度 评 估 的 证 据 , 现 有 信任 度 评估 模型 中 最 常 出 现 的 信任 因子 主 
要 有 交易 额 ,交易 量 .交易 时 间 、 交 易 结 果 和 交易 评价 等 。 而 这 些 证 据 大 多 可 归 为 基于 业务 
反馈 的 证 据 。 这 些 证 据 源 有 明显 的 局 限 性 ,主要 表现 在 以 下 两 点 : 

(1) 忽视 了 与 交易 业务 相关 的 网 络 操作 活动 对 交易 的 影响 。 比 如 ,网 络 主体 在 进行 某 
项 交易 前 ,通过 某 些 黑客 手段 获得 了 交易 优势 (比如 在 电子 商务 系统 中 算 改 自己 或 他 人 的 信 
誉 值 等 ) ,这 种 行为 本 身体 现 了 该 主体 的 不 可 信 , 但 是 这 些 信任 并 不 能 在 业务 反馈 证 据 中 得 
以 体现 。 

(2) 只 考察 主体 在 某 特定 类 型 交易 中 的 表现 。 如 果 一 个 人 在 某 一 种 活动 中 是 诚信 的 ， 
那么 我 们 会 倾向 于 认为 他 在 其 他 活动 中 也 是 诚信 的 。 因 此 ,考察 某 网 络 主体 在 A 类 交易 中 
的 信任 度 , 对 于 评价 该 主体 在 B 类 交易 中 的 信任 度 是 有 一 定 意义 的 。 

鉴于 以 上 局 限 性 ,本 节 从 评价 某 一 个 网 络 主体 可 信 度 的 视角 出 发 ,提出 了 多 维 证 据 的 概 
念 , 并 基于 多 维 证 据 提 出 了 一 种 基于 多 维 证 据 的 信任 度 评 估 模 型 。 多 维 证 据 中 所 谓 多 维 是 
指 不 同类 型 的 证 据 ,本 章 涉及 的 多 维 证 据 主 要 包括 电子 商务 类 业务 反馈 证 据 、 网 络 社区 类 业 
务 反 馈 证 据 和 网 络 操作 行为 证 据 。 

2.1.1 电子 商务 类 业务 反馈 证 据 

电子 商务 类 业务 反馈 证 据 是 指 网 络 主体 参与 在 线 买 卖 交 易 的 相关 证 据 , 当 前 已 经 有 很 
多 信任 度 评估 模型 基于 这 一 类 证 据 , 因 此 对 于 此 类 证 据 的 研究 已 经 比较 充分 。 在 线 交 易 是 
网 络 主体 参与 网 络 活动 的 一 项 重要 内 容 , 网 络 主体 在 线 交 易 中 表现 出 来 的 诚信 状态 对 其 信 
任 度 产生 重要 影响 。 
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本 章 将 一 条 电子 商务 类 业务 反馈 证 据 的 数据 结构 定义 为 : 证 据 (证 据 类 别 , 主 体 身份 ， 
交易 时 间 ,交易 价值 ,交易 结果 ,交易 评价 ) ,简写 为 Evi(Cla,Ide,T,Val,Res,Asse)。 其 中 ， 
Evi 表示 证 据 名 称 (Evidence) ,只 是 一 个 符号 ,说明 此 记录 是 一 条 证 据 ;Cla 表示 此 证 据 的 类 
别 (CClassification), 用 于 标识 当前 证 据 属于 多 维 证 据 中 的 哪 一 类 ; Ide 表示 主体 身份 
CIdentity) ,用 于 标识 当前 主体 在 当前 交易 中 的 角色 ,分 为 卖 者 和 买 者 两 种 ;T 表示 交易 时 间 
(Time) ,用 于 标识 当前 交易 发 生 的 时 间 ; Val 表示 交易 价值 (Value) ,用 于 标识 当前 交易 标的 
物 的 价值 ;Res 表示 交易 结果 (Result) ,用 于 标识 当前 交易 的 结果 ,分 为 成 功 、 失 败 ;Asse 表 
示 交 易 评价 (Assessment) ,用 于 标识 当前 主体 在 本 次 交易 中 获得 的 评价 ,分 为 正面 评价 .中 
性 评价 和 反面 评价 。 


2.1.2 网 络 社区 类 业务 反馈 证 据 


网 络 社区 类 业务 反馈 证 据 是 指 网 络 主体 在 其 加 入 的 网 络 社区 进行 的 相关 活动 的 数据 。 
加 入 网 络 社区 并 参与 发 帖 活动 是 网 络 主体 参与 网 络 活动 的 又 一 重要 内 容 , 网 络 主体 在 网 络 
社区 中 的 表现 对 其 信任 度 也 产生 重要 影响 。 

本 章 将 一 条 网 络 社区 类 业务 反馈 证 据 的 数据 结构 定义 为 : 证 据 ( 证 据 类 别 , 事 件 , 时 间 ， 
事件 判别 ) ,简写 为 Evi(CCla,Eve,T,Disti) 。 其 中 ,Cla 表示 此 证 据 的 类 别 (Classification)， 
用 于 标识 当前 证 据 属于 多 维 证 据 中 的 哪 一 类 ;Eve 表示 事件 (Event) ,包括 主页 被 浏览 、 原 发 
帖 被 浏览 .被 删 帖 和 被 禁止 发 帖 :;T 表示 时 间 (CTime) ,记录 此 证 据 产生 的 时 间 ;Disti 表示 对 
事件 的 判别 (Distinguish) ,用 于 对 事件 进行 判断 定性 。 其 中 ,对 于 主页 或 帖子 被 浏览 事件 ， 
Disti 判别 累计 次 数 是 否 达 到 某 阔 值 , 如 果 达 到 则 产生 一 条 证 据 记 录 ; 对 于 被 删 帖 事件 ,Disti 
取 值 包括 楼 主 和 回复 :对 于 被 禁止 发 帖 事件 ,Disti 的 取 值 包括 暂时 禁止 和 封号 。 


2.1.3 网 络 操作 行为 证 据 


网 络 操作 行为 是 指 在 网 络 技术 层面 上 表现 的 行为 ,包括 正常 行为 和 入 侵 行为 ;其 中 ,入 
侵 行 为 是 指 诸如 非法 访问 .口令 猜测 .DOS 攻击 和 木马 攻击 等 危害 网 络 安全 的 行为 ,这 些 行 
为 与 交易 相关 并 可 能 破坏 交易 公平 性 或 者 危害 网 络 安全 。 网 络 主体 实施 危害 性 网 络 操作 行 
为 ,将 对 其 信任 产生 较为 严重 的 破坏 性 影响 。 

本 章 提出 的 信任 度 评 估 模 型 也 关注 网 络 主体 过 去 的 行为 ,但 不 像 防 火 墙 和 入 侵 检 测 
系统 那样 对 网 络 进行 实时 保护 ,而 是 基于 安全 审计 技术 来 分 析 和 发 现 网 络 操作 行为 证 
据 。 安 全 审计 系统 可 以 对 网 络 中 各 种 设备 和 系统 进行 集中 的 审计 ,发 现 人 侵 行为 及 安全 
隐患 。 本 章 利用 安全 审计 结果 中 关于 网 络 主体 的 入 侵 行为 ,并 获取 该 主体 的 网 络 操 作 行 
为 证 据 。 

本 章 将 一 条 网 络 操 作 行 为 证 据 的 数据 结构 定义 为 : 证 据 ( 证 据 类 别 ,时 间 , 攻 击 级 别 )， 
简写 为 Evi(Cla,T,Lev)。 其 中 ,Cla 表示 此 证 据 的 类 别 (Classification) ,用 于 标识 当前 证 据 
属于 多 维 证 据 中 的 哪 一 类 ;TT 表示 时 间 (Time) ,记录 此 证 据 指向 的 网 络 操作 行为 实施 的 时 
间 ;Lev 表示 攻击 级 别 , 本 章 将 攻击 级 别 分 为 5 个 等 级 趾 , 即 Lev 二 1 表示 信息 泄露 类 攻击 ， 
Lev—2 表示 拒绝 服务 类 攻击 ,Lev 二 3 表示 数据 破坏 和 欺骗 类 攻击 ,Lev 一 4 表示 入 侵 控 制 
类 攻击 ,Lev 二 5 表示 对 抗 性 攻击 。 
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2.2 D-S 证 据 理 论 及 合成 规则 改进 


2.2.1 D-S 证 据 理论 的 基本 原理 


D-S 证 据 理论 是 对 概率 论 的 扩展 ,概率 论 可 以 视 为 D-S 证据 理论 的 一 个 特例 。D-S 证 
据 理论 将 命题 的 推理 转化 为 集合 的 推理 , 当 一 个 证 据 E 不 能 完全 支持 或 者 拒绝 一 个 命题 A 
时 ,将 巨 所 包含 的 信息 分 配给 包含 A 的 一 个 集合 ,从 而 使 得 E 所 包含 的 信息 不 至 于 丢失 , 同 
时 也 描述 了 对 支持 或 拒绝 A 的 不 确定 性 。 当 一 个 证 据 对 一 组 命题 支持 或 者 拒绝 的 先 验 
概率 已 知 时 ,D-S 证 据 理 论 与 概率 论 将 产生 相同 的 推理 结果 。 

D-S 证 据 理 论 引入 识别 框架 、 基 本 概率 分 配 函 数 、 信 任 函 数 和 似 然 函 数 等 概念 来 描述 不 
确定 性 ,通过 对 证 据 的 合并 和 对 信任 函数 的 更 新 来 实现 集合 的 推理 。 


l. 识别 框架 
定义 2.1 识别 框架 
对 于 一 个 需要 判决 的 问题 ,其 答案 的 完备 集合 用 8 表示 ,9 中 的 元 素 可 以 是 数值 ,也 可 
以 是 非 数 值 ,8 中 所 有 元 素 都 是 两 两 互 斥 的 , 且 任 意 时 刻 问题 的 答案 都 只 能 取 O 中 的 某 一 
个 元 素 , 则 称 O 为 该 问题 的 识别 框架 。 识 别 框架 9 可 表示 为 
0 — (6.0; sOit 0.) «2. D 
其 中 ,0; 是 识别 框架 O 的 一 个 元 素 ,n 是 9 中 元 素 的 个 数 ,zE [1.nj]。 
由 识别 框架 9 所 有 子 集 组 成 的 集合 称 为 O WER, WE 29 ,可 表示 为 
29 一 (好 ,{0) (0 (06:46. (0 0:37.09) (2.2) 
例如 ,判断 一 个 日 期 所 处 的 季度 ,那么 该 问题 的 识别 框架 为 : O= {第 一 季度 ,第 二 季度 ， 
第 三 季度 ,第 四 季度 } ,9 的 子 集 { 第 一 季度 ,第 二 季度 } 表 示 这 一 天 是 第 一 季度 或 者 第 二 季度 
的 某 一 天 。 
2. 基本 信任 分 配 函 数 
定义 2.2 MER (i EA BC PR 
如 果 函 数 m 满足 下 列 条 件 的 映射 : 
m;29 — [0.1] 


Xma) =1 (2.3) 


Ace 
m) 一 0 
则 称 m 是 28 上 的 基本 信任 分 配 函 数 , 其 中 (A) 称 为 A 的 基本 信任 分 配 函 数 , 它 表 示 证 据 
对 A 的 精确 信任 程度 。 
式 (2.3) 中 , 》)m(A) = 1 表示 虽然 可 以 给 每 一 个 命题 集合 分 配 任意 信任 值 ,但 是 所 有 


Ace 
命题 集合 所 获得 的 信任 值 之 和 必须 等 于 15m G2). — 0 表示 对 空 集 不 分 配 信 任 值 , 即 对 空 集 
不 产生 支持 或 拒绝 的 值 。 
如 果 m CA) 7-0. JU f A 为 焦 元 , 焦 元 中 包含 识别 框架 O 元素 的 个 数 称 为 焦 元 的 基 。 基 
为 1, 则 称 A 为 单元 焦 元 ;同样 , 基 为 i. 则 称 A 为 i 元 焦 元 。 如 果 A 是 单元 焦 元 , 则 m(A) 表 
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示 当 前 证 据 对 A 的 精确 信任 度 ;如 果 A EZTET AAO, M m(A) 依 然 是 当前 证 据 对 A 
的 精确 信任 度 ,不 同 的 是 这 个 信任 度 无 法 精确 地 分 配给 A 中 的 元 素 。 如 果 A 二 98, 那么 
m(A) 表 示 当 前 证 据 对 的 子 集 不 产生 信任 值 , 即 不 知道 该 把 信任 值 分 配给 谁 。 
在 实际 应 用 过 程 中 ,基本 信任 分 配 函 数 是 需要 构造 的 ,构造 基本 信任 分 配 函 数 时 通常 根 
据 过 去 获得 的 数据 或 者 专家 们 的 经 验 作 为 基础 。 
3. 信任 函数 
定义 2.3 信任 函数 
对 于 任意 一 个 命题 或 者 命题 集合 ,其 信任 函数 Bel(A) 定 义 为 A 的 全 部 子 集 对 应 的 基本 
信任 分 配 函 数 之 和 , 即 
Bel:28 — [0,1] 
Bel(A) — Simo» (2.4) 
BCA 


AcO 
Bel 函数 又 被 称 为 下 限 函数 ,表示 当前 证 据 对 于 A 的 全 部 信任 值 。 由 基本 信任 分 配 函 
数 容易 得 到 BeA) =m) 一 0。 如果 六 CA) 过 0, 则 称 A 为 信任 函数 Bel 的 焦 元 ,所 有 焦 
元 并 称 为 Bel 的 核 。 


4. dA IR RC 
定义 2.4 似 然 函 数 
如 果 对 识别 框架 O 的 任 一 子 集 A, 有 
P1:2° — [0.1] 
PICA) = 1 — Bel(— A) (2.5) 
ACO 
WEK PICAD 2g A 的 似 然 函数 。 似 然 函数 也 被 称 为 下 限 函 数 , 表 示 对 A 非 假 的 精确 信任 度 ， 
即 表 示 对 A 可 能 成 立 的 不 确定 程度 。 
根据 信任 函数 和 似 然 函数 的 定义 ,不 难 证 明 信 任 函数 和 似 然 函 数 有 如 下 关系 : 
Pl(A) 宇 Bel(A). ATO 
A 的 不 确定 性 由 x(A)=PICA) 一 Bel(A) 表示 .A 的 不 确定 性 也 可 以 用 图 2. 1 来 表示 。 
支持 区 间 不 确定 区 间 拒绝 区 间 
ER N Y 人 \ 


T 
Bel(4) PI(A) 1 
图 2.1 证 据 对 A 的 支持 区 间 图 


ös 


5. Dempster-Shafer 证 据 合成 规则 

由 上 面 介绍 的 相关 知识 可 知 , 对 于 某 一 命题 或 者 命题 集合 成 立 的 表述 需要 用 信任 函数 
和 似 然 函 数 来 度量 ,而 信任 函数 和 似 然 函数 又 是 基于 基本 信任 分 配 函 数 来 定义 的 ,所 以 基本 
信任 分 配 函 数 是 基础 。 在 实际 应 用 过 程 中 ,通常 会 有 多 个 证 据 同时 对 某 一 命题 或 者 命题 集 
合 产生 作用 ,而 不 同 的 证 据 可 能 会 产生 不 同 的 基本 信任 分 配 函 数 , 所 以 为 了 计算 信任 函数 和 
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似 然 函 数 ,必须 先 将 所 有 不 同 的 基本 信任 分 配 函 数 合 并 成 一 个 概率 分 配 函 数 。 因 此 ， 
Dempster 提出 了 一 种 合成 不 同 基本 信任 分 配 函 数 的 方法 3 ,通常 称 为 Dempster-Shafer 证 
据 合成 规则 ,简称 为 D-S 合成 规则 。 
1) 两 个 证 据 的 合成 
假设 m ums 分 别 是 识别 框架 9 下 两 个 证 据 Ei. E; 的 基本 信任 分 配 郴 数 , 焦 元 分 别 为 
Aui An M) D-S 合成 规则 为 
» my (Ay )mz (Az; ) 


ANAA 


m(A) = I-K HK-—1 (2.6) 
式 中 ， 
K= J) müGuyomskCA;) (2.7) 
Auf1A; 78 


由 式 (2.6) 可 知 ,D-S 合成 规则 实质 上 是 对 ma nz 做 正 交 运算 ,通常 记 为 m= m Dm- 
如 果 K< 不 成 立 , 那 么 m 和 ms 就 无 法 用 D-S 合成 规则 来 合成 , 即 n m Coma 不 存在 。 

D-S 合成 规则 的 几何 意义 可 以 用 图 2.2 来 说 明 。 图 2. 2(a) 和 图 2. 2(b) 分 别 表示 证 据 
E, 、 忆 的 基本 信任 分 配 ,图 2. 2(c) 表 示 E Es 的 基本 信任 分 配 函 数 的 合成 结果 。 图 2. 2(c) 
中 阴影 部 分 表示 对 于 该 焦 元 mi .ms 都 产生 了 支持 度 ,该 焦 元 在 合成 后 的 信任 分 配 函 数 中 也 
可 以 获得 信任 分 配 ;空白 部 分 表示 m mz 没有 同时 对 相应 焦 元 产生 支持 度 , 所 以 这 些 焦 元 
在 合成 后 的 信任 分 配 函 数 中 将 不 能 获得 信任 分 配 。 


m(Ay) m(n) mi(41,) 4 
1 
L | | | | = | J 
0 1 1 
1 
(a) 证 据 局 的 基本 信任 分 配 1 
mAn) 
mXAy) mA») mA») 
m ! L----- ! 9 mA) Kus 1 
(b) 证 据 包 的 基本 信任 分 配 (c) my. má) ces 


图 2.2 两 个 证 据 的 基本 信任 分 配 函 数 合成 的 几何 意义 


2) 多 个 证 据 的 合成 
对 于 Ei 、Es。、…、EE, 在 识别 框架 O 下 的 基本 信任 分 配 函 数 m ums crum, 进行 合成 ,可 
以 表示 为 m— m mi Cm, ,合成 规则 如 下 : 


M TI[»;cA 
fA, —A I«icn 
— l&j«g 
m(A) = fe (2.8) 
Ap AZ un 是 证 据 的 个 数 ,gq 是 焦 元 的 个 数 ,K 一 1. 且 K 的 计算 方法 如 下 : 
K= >, [[m«a» (2.9) 


DÀ, 7 2 1&icn 


I&j«q 


k 
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2.2.2 D-S 合成 规则 改进 


对 于 D-S 证 据 理论 的 改进 主要 着 力 于 对 于 证 据 合成 规则 的 改进 ,因为 在 实际 应 用 过 程 
中 ,D-S 合成 规则 会 出 现 不 能 使 用 或 者 得 出 不 符合 人 类 推理 习惯 的 结论 。 文 献 [4 分 析 总 结 
T D-S 合成 规则 可 能 产生 的 六 大 悖 论 , 即 全 冲突 悖 论 .0 信任 悖 论 .1 信任 悖 论 . 证 据 失 效 悖 
论 \ 信 任 偏 移 悖 论 和 焦 元 基 模 糊 悖 论 。D-S 合成 规则 产生 的 悖 论 主要 是 由 于 冲突 证 据 的 存 
在 导致 的 ,目前 已 有 很 多 关于 冲突 证 据 合成 的 研究 成 果 。 例 如 

COD Smets 合成 规则 。 在 假设 证 据 完 全 可 靠 的 前 提 下 ,提出 了 高 冲突 证 据 的 合成 规则 ， 
被 称 为 可 传递 置信 模型 5 。Smets 认为 ,导致 冲突 证 据 合成 悖 论 的 主要 原因 是 识别 框架 有 
穷 且 完 备 的 假设 不 合理 ,因为 人 的 认识 是 有 局 限 性 的 ,必然 存在 人 们 无 法 判断 其 真 假 的 位 置 
命题 。Smets 将 冲突 的 原因 归结 于 未 知 命题 的 存在 ,并 将 冲突 分 配给 这 些 命题 ,基于 这 种 思 
想 提出 了 可 传递 置信 模型 。 但 是 这 个 合成 规则 不 太 符 合 人 类 的 推理 思维 。 

(2) Yager 合成 规则 。 该 规则 在 假设 证 据 不 完全 可 靠 的 前 提 下 ,取消 了 正则 化 过 程 , 提 
出 了 一 种 证 据 合成 规则 ,其 主要 思想 是 把 冲突 部 分 分 配给 识别 框架 O7. Yager 合成 规则 
在 合成 低 冲突 的 证 据 时 可 以 获得 良好 的 结果 ,但 是 合成 高 冲突 的 证 据 时 却 不 能 获得 满意 的 
结果 。 

(3) Lefevre 合成 规则 。Lefevre 认为 在 合成 冲突 证 据 时 ,冲突 部 分 应 该 尽 可 能 地 分 配 
给 涉及 冲突 的 焦 元 5] 。 基 于 这 一 思想 ,Lefevre 为 所 有 涉及 冲突 的 焦 元 定义 了 加 权 因子 ,并 
把 冲突 部 分 按照 加 权 因子 成 比例 地 分 配给 各 个 涉及 冲突 的 焦 元 。 事 实 上 ,Lefevre 的 合成 规 
则 只 考虑 了 一 种 冲突 , 即 当 存在 某 焦 元 在 不 同 证 据 的 基本 信任 分 配 函 数 中 获得 了 0 和 非 0 
的 信任 分 配 。 然 而 ,这 种 冲突 并 不 能 描述 全 部 的 冲突 ,因为 某 焦 元 在 不 同 的 两 个 证 据 中 分 别 
获得 0.9 和 0. 1 的 信任 分 配 也 是 一 种 高 冲突 ,而 这 种 冲突 不 在 Lefevre 合成 规则 的 考虑 范 
围 之 内 。 但 是 把 冲突 部 分 按 权 重 分 配给 冲突 焦 元 的 思想 很 值得 借鉴 。 

(4) Murphy 合成 规则 。Murphy 认为 ,既然 D-S 合成 规则 产生 问题 的 原因 是 证 据 间 的 
冲突 ,那么 如 果 能 够 通过 某 种 方法 将 证 据 间 的 冲突 降低 , 则 D-S 合成 规则 就 仍然 是 可 行 的 。 
基于 这 一 思路 ,Murphy 提出 了 一 种 改进 的 合成 规则 加 ,Murphy 的 合成 规则 可 以 处 理 高 冲 
突 的 证 据 合成 问题 ,但 是 简单 平均 的 方法 忽视 了 证 据 之 间 冲 突 的 具体 情况 ,在 实际 运用 中 可 
能 会 产生 偏离 实际 的 结果 。 比 如 , 某 些 偏差 很 大 的 不 准确 证 据 可 能 会 对 合成 结果 产生 较 大 
的 搅动 ,使 得 合成 结果 偏离 实际 情况 。 

得 益 于 Murphy 的 思想 ,同时 考虑 避免 简单 平均 法 带 来 的 次 端 ,我 们 提出 一 种 基于 冲突 
强度 G 和 有 效 冲 突 Gs 的 新 合成 规则 ,简称 为 G-Gs 合成 规则 。 该 合成 规则 的 步骤 为 ， 

COD 基于 冲突 强度 G, 将 所 有 证 据 的 信任 分 配 值 进行 加 权 平 均 。 

(2) 运用 有 效 冲 突 合成 法 对 nn 个 m(As) 进 行 合成 n 一 1 次 。 

以 下 具体 前 述 G-Gs 合成 规则 。 

假设 m uma rnm, 分 别 是 识别 框架 9 下 证 据 E, E; E, AJAA fi (EA) BO PR As 
4:、…\A: 是 所 有 证 据 涉及 的 全 部 焦 元 。 


l. 冲突 强度 G 
文献 [4 给 出 了 冲突 强度 G 的 定义 , 即 : 
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假设 m m, 分 别 是 识别 框架 9 下 两 个 证 据 E; E; 的 基本 信任 分 配 函 数 , 焦 元 分 别 为 
Asi Az WA 


: u C(E E) 

GG oE D= gRE LEX CO, ED 

CUBE E,;)-— p» m CAÀy; )m (Az) (2. 10) 
Aufl; 7 

H(E,,E,;)— »3 m CAy; )m (Az) 


2. 加 权 平 均 信 任 分 配 值 
对 于 任意 两 个 证 据 E; E; 4g X. bi —1—G; 二 b; 为 证 据 E;、E; 的 相似 度 , H. bi = bj —1. 
E E RT AARIA n AP ERE E RB ELA AE : 


bu cmo by rm bs, {1 e by tm bs, 
S= |ba * bj - baļ|= |ba c 1 ce ba (2.11) 
ba o by orm bm ba co by c8] 


证 据 间 冲突 强度 越 小 ,说 明证 据 相 互 支持 的 力度 越 大 ,因此 和 矩阵 $ 每 行 元 素 相 加 可 以 得 
到 其 他 所 有 证 据 对 E, 的 支持 力度 , 即 


Sup (mi) = y. ji d:2:55) (2.12) 
将 支持 度 归 一 化 可 得 加 权 平均 的 权重 , 妈 
Weit (n; ) = Sup Cm) / > suptm)， G,j —1,2,7,m (2.13) 
此 时 ,可 以 对 六 组 证 据 的 基本 信任 分 配 值 进行 加 权 平 均 , 即 


m(A!i)= X Weit On; ym; CAD (2.14) 
i=l 


3. 运用 有 效 冲突 合成 法 做 最 终 合 成 
经 过 以 上 步骤 ,可 以 获得 一 个 加 权 平 均 后 的 基本 信任 分 配 函 数 , 即 
m (A) —m' {A}, {Az je (AL) ) = Cm CAL) mt (Az ) mt (A,)) (2.15) 

Murphy 使 用 D-S 合成 法 ( 即 式 (3.6) 和 式 (3.7) ) 对 平均 后 的 证 据 进行 合成 ,该 方法 利 
用 归 一 化 因子 1/(1 一 k) 将 冲突 部 分 完全 分 配给 非 9 焦 元 。 这 一 思想 并 非 完全 合理 ,因为 冲 
突 部 分 & 并 非 为 完全 有 效 信息 ,如 果 将 无 效 信息 分 配给 非 O 焦 元 ,那么 合成 结果 实际 上 已 
经 偏离 了 正确 结果 。 

针对 以 上 问题 ,本 章 将 冲突 部 分 划分 为 有 效 冲 突 和 无 效 冲突 两 部 分 ,有 效 冲 突 部 分 是 指 
对 于 命题 判别 过 程 有 效 的 部 分 ,无 效 冲突 部 分 是 指 对 命题 判别 过 程 无 效 的 部 分 。 基 于 文 
献 [4 给 出 的 证 据 一 臻 量 和 冲突 量 的 定义 ,本 章 给 出 冲突 有 效 部 分 的 定义 。 

定义 2.5 证 据 一 臻 量 . 冲 突 量 和 冲突 有 效 部 分 

对 于 识别 框架 9 下 两 个 证 据 E, E. 4E fi [E 2T Be ERA E mi ms , 焦 元 分 别 为 
Au As ,A1l、As、…、Al 是 所 有 证 据 涉及 的 全 部 焦 元 , 则 有 : 
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(D E,.E, 的 证 据 一 致 量 
H(E,,E)— 2 m (Au )m (Az; ) 


AyTAg 
(2) E, E, 的 证 据 冲 突 量 
C(E;E)— by m (Ai )m (Az) 


AyuflAs - 2 
(3) E, E, 的 冲突 有 效 部 分 


G CE, ,E;)— H((E,,E;) 


H (E, .E;)- CCE, .E;) 


(2.16) 


(2. 17) 


(2.18) 


基于 上 述 定义 ,本 章 给 出 有 效 冲 突 合成 法 。 假 设 m om; 分 别 是 识别 框架 O 下 两 个 证 据 
E, E; 的 基本 信任 分 配 函 数 , 焦 元 分 别 为 Au、 As s Ai Arr A, 是 所 有 证 据 涉 及 的 全 部 焦 


元 , 则 有 
D mium Ga) t Ae X G X K Az 8 
m(A;) = ANAA 
D mGuom Gs) (0—G) XK.A— 80 
ee A 
式 中 ， 


m(A) + m; CA,) 
Ag = 4 21m Cm (Az) 
0, A =0 
(4) Xf n Am ARR n — 1 次 的 新 算法 


， Ai,Ayi,Az; HIE OR 


(2.19) 


(2. 20) 


G-Gs 合成 规则 保留 了 D-S 合成 的 交换 律 和 结合 律 ,因此 本 章 设 计 了 一 种 对 nn 个 


m (CANET n—1 次 合成 的 算法 ,此 算法 可 以 大 大 减少 运算 量 , 具 体 算法 如 下 。 
算法 2.1 
m$ CA) mt CA) 
m(A»)«m$i(A) 
[n 
m-—n—1 
flag,-, «0 
while /二 1 
do m; (A) —m;-i CA) mta CA) 
flag, «1942 
L—int (1/2) 
if flag, —1 
then m CA) 7m CA) mz, CA) 
end 


mA )m (GA)G)mt, CA) 
2.2.3 G-G, 合成 规则 的 评价 
本 节 用 实例 验证 的 方法 说 明 G-Gs 合成 规则 的 优越 性 。 
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例 2.1 假设 有 识别 框架 =={A,B) ,4 个 证 据 的 基本 信任 分 配 函 数 m ma ms m. 分 
别 为 : m; — (A B.9)—(0.9.0.1.0) m; — CA B.) — (0.1.0) m3 — CA.B. 0) — (1.0.0). 
m, CA.B.,) — (0. 7,0. 3.00 . 4: 3ILH. D-S 合成 规则 、Smets 合成 规则 、Yager 合成 规则 、 
Lefevre 合成 规则 Murphy 合成 规则 和 G- Gs 合成 规则 合成 这 4 个 证 据 的 结果 如 表 2.1 
所 示 。 


表 2.1 不 同 合成 规则 的 合成 结果 表 


结果 运算 I Il Tl N 
规则 m Gm; mim, m Dms m Om: Om, m, 
D-S 合 成 规则 (0,1,0) (0. 95,0. 05,0) 无 法 合成 无 法 合成 


Smets 合成 规则 (0,0. 1,0.9) (0. 63,0. 03,0.34) |(0,0,1) (0,0,1) 
Yager 合成 规则 (0,0.1,0.9) (0. 63,0.03,0.34) | (0,0,1) (0.7,0.03,0.27) 
Lefevre 合成 规则 | (0.405,0.595,0) |(0.902,0.098,0) |(0.5,0.5,0) (0. 823,0. 177 ,0) 


Murphy 合成 规则 | (0. 4.0.6.0) €0. 94,0. 06.0) (0.5.0. 5.0) (0. 964.0. 036.0) 
(0. 814.0. 084,0. 102) | (0. 375.0. 375,0. 25) |(0. 849.0.08.,0.071) 


1. G-G, 合成 规则 处 理 高 冲突 证 据 的 合理 性 

运算 工 和 亚 是 两 个 高 冲突 证 据 合成 的 例子 ,以 上 6 种 合成 规则 在 处 理 这 两 个 运算 时 的 
效果 有 所 不 同 。 

D-S 合成 规则 在 处 理 这 两 个 运算 的 时 候 都 遇 到 了 困难 。D-S 规则 处 理 运算 工 的 结果 为 
完全 相信 B, 而 把 证 据 1 完全 忽略 了 ,其 结果 有 悖 人 类 正常 推理 思维 。D-S UR Ab X iz E TIT 
时 , 遇 到 了 不 能 合成 的 情况 ,因为 运算 焉 的 两 个 证 据 完全 冲突 , 即 冲 突 系 数 &= 王 1, 导 致 归 一 
化 系数 1/(1 一 k) 不 存在 。 

Smets 合成 规则 和 Yager 合成 规则 在 处 理 这 两 个 运算 的 时 候 得 到 了 相同 的 结果 ,但 是 
结果 不 合理 。 这 两 种 合成 规则 把 冲突 完全 分 配给 识别 框架 8, 导致 m COD PO (ARCA, «ifi 
m(A) 和 m(B) 的 值 很 小 ,使 得 合成 结果 无 法 支持 决策 ,失去 了 证 据 合 成 的 意义 。 

Lefevre 合成 规则 、Murphy 合成 规则 和 G-G 合成 规则 在 处 理 这 两 个 运算 时 获得 了 较 
好 的 合成 结果 。 这 3 种 合成 规则 获得 的 结果 都 表达 了 对 ALB 持 有 几乎 同等 的 信任 程度 ;不 
同 的 是 ,G-G 合成 规则 在 表达 这 一 观点 的 同时 也 表达 了 不 确定 性 ,将 一 部 分 冲突 分 配给 识 
别 框架 9, 从 而 更 准确 地 反映 了 两 个 证 据 合成 的 真实 情况 。 

综 上 所 述 ,在 处 理 高 冲突 证 据 合 成 时 ,Lefevre 合成 规则 、Murphy 合成 规则 和 G- Gi 合 
成 规则 都 具有 可 用 性 ,但 是 G-Gs 合成 规则 较 其 他 两 个 规则 更 为 精确 。 

2. G-Gs 合成 规则 处 理 低 冲 突 证 据 的 合理 性 

运算 开 是 一 个 低 冲 突 证 据 合 成 的 例子 ,以 上 6 种 合成 规则 处 理 这 个 运算 的 效果 仍然 有 
所 不 同 。 

Smets 合成 规则 和 Yager 合成 规则 在 处 理 这 两 个 运算 的 时 候 得 到 了 相同 的 结果 ,但 结 
果 依 然 不 太 合理 。 这 两 种 合成 方法 把 冲突 完全 分 配给 识别 框架 8, 导致 合成 结果 对 A 的 支 
持 度 低 于 原始 证 据 。 这 两 种 合成 方法 由 于 过 于 谨慎 ,导致 合成 结果 存在 巨大 的 不 确定 性 信 


G-Gr 合成 规则 (0. 315,0. 44,0, 245) 


A 
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息 ,给 决策 带 来 了 困难 。 

其 他 4 种 合成 规则 均 获得 了 明显 支持 A 的 合成 结果 ,结果 符合 人 类 正常 的 推理 思维 。 
因此 ,这 4 种 合成 规则 对 于 低 冲 突 证 据 都 有 效 。 

3. G- G, 合成 规则 处 理 混 合 型 证 据 的 合理 性 

混合 型 证 据 是 指 既 包括 高 冲突 证 据 也 包括 低 冲突 证 据 的 一 组 证 据 , 运 算 信 反映 了 混合 
型 证 据 的 特点 。 以 上 6 种 合成 规则 处 理 运算 T 的 效果 同样 有 很 大 差别 。 

D-S 合成 规则 不 能 处 理 运算 信 ,因为 运算 全 中 存在 完全 冲突 的 证 据 , 导 致 归 一 化 因子 不 
存在 。 

Smets 合成 规则 获得 的 处 理 结果 为 (0,0,1) ,因为 存在 完全 冲突 的 证 据 ,导致 该 合成 规 
则 把 所 有 支持 度 分 配给 ,而 忽视 这 4 个 证 据 中 有 3 个 是 支持 A 的 现实 。 因 此 ,Smets 合成 
规则 在 合成 混合 型 证 据 时 可 能 出 现 问 题 。 

Murphy 合成 规则 获得 的 结果 明确 支持 A, 但 是 支持 度 非常 接近 于 1。 导 致 这 一 结果 的 
原因 是 : 在 把 原始 证 据 的 基本 信任 分 配 函 数 进行 平均 后 ,Murphy 使 用 D-S 合成 规则 对 平 
均 后 的 基本 信任 分 配 函 数 进行 合成 。 由 于 D-S 合成 规则 的 归 一 化 运算 ,导致 了 合成 过 程 中 
信任 分 配 快速 向 支持 度 较 高 的 焦 元 集中 。 

Yager 合成 规则 、Lefevre 合成 规则 和 G-Gs 合成 规则 在 合成 混合 型 证 据 时 获得 了 较 好 
的 结果 。 其 中 ,Yager 合成 规则 的 结果 对 于 O 的 信任 分 配 较 大 ,显得 比较 谨慎 ;而 Lefevre 
合成 规则 的 结果 对 于 O 的 信任 分 配 为 0, 显 得 比较 激进 。 

G-Gy 合成 规则 相 较 于 Murphy 合成 规则 而 言 , 由 于 采用 有 效 冲突 合成 法 蔡 代 了 D-S 合 
成 规则 做 最 后 的 合成 ,使 得 信任 分 配 向 支持 度 较 高 的 焦 元 集中 的 速度 有 所 降低 。 同 时 ， 
G-G4 合 成 规则 将 一 部 分 未 决 的 冲突 分 配给 9, 等 待 下 一 步 合成 再 行 裁决 ,这 样 的 处 理 更 为 
精确 地 反映 了 D-S 证据 理论 对 于 "不 确定 "和 "不 知道 的 区 分 和 处 理 。 

综 上 所 述 , 相 比 于 其 他 5 个 合成 算法 ,G-Gn 合成 规则 在 处 理 混合 型 证 据 的 合成 问题 时 
表现 出 了 更 为 突出 的 优越 性 。 

4. G-Gy 合成 规则 处 理 多 维 证 据 的 合理 性 

多 维 证 据 是 一 种 混合 型 证 据 , 一 组 多 维 证 据 可 能 包含 高 冲突 的 证 据 , 也 可 能 包含 低 冲突 
的 证 据 。 前 面 证 明了 G-G. 合成 规则 在 处 理 高 冲突 、 低 冲突 和 混合 型 证 据 的 合成 问题 时 都 
表现 出 了 其 优越 性 。 因 此 ,G-G 合成 规则 完全 有 能 力 处 理 多 维 证 据 的 合成 问题 ,并 能 够 获 
得 满意 的 合成 结果 。 


2.3 EBTrust 信任 度 评估 模型 

本 节 基 于 多 维 证 据 以 及 G- Gu, 合成 规则 的 研究 ,设计 了 一 种 基于 多 维 证 据 的 信任 度 评 
估 模 型 ,简称 为 EBTrust 信任 度 评估 模型 ,下 面 详细 阐述 该 模型 。 
2.3.1 模型 框架 


EBTrust 信任 度 评估 模型 类 似 于 集中 式 信任 度 评估 模型 ,其 框架 结构 如 图 2. 3 所 示 。 
其 中 ,证 据 采 集 模 块 负 责 原始 证 据 的 采集 工作 ,证 据 形 式 化 处 理 模块 负责 把 形式 多 样 、 
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网 络 社区 类 网 络 操作 行为 类 
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2.3 EBTrust 信任 度 评估 模型 框架 


结构 复杂 的 原始 证 据 进 行 分 类 处 理 并 实现 形式 化 表达 ,信任 度 计算 和 管理 模块 负责 信任 度 
的 最 终 计 算 以 及 对 信任 度数 据 进 行 存储 、 更 新 检索、 发 布 等 管理 工作 。 


2.3.2 证 据 的 采集 


EBTrust 信任 度 评估 模型 涉及 的 多 维 证 据 包 括 电 子 商 务 类 业务 反馈 证 据 、 网 络 社区 类 
业务 反馈 证 据 和 网 络 操作 行为 类 业务 反馈 证 据 3 类 ,可 以 分 别 在 相应 的 应 用 系统 中 获得 。 

电子 商务 类 业务 反馈 证 据 可 以 从 各 个 电子 商务 网 站 的 服务 器 获得 ,网 络 社区 类 业务 反 
馈 证 据 可 以 从 各 个 网 络 社区 的 服务 器 获得 ,网 络 操作 行为 类 业务 反馈 证 据 可 以 从 各 个 安全 
审计 系统 中 获得 。 由 于 本 章 侧 重 于 模型 的 设计 ,而 非 模 型 的 具体 实现 ,因此 本 章 对 这 一 部 分 
内 容 不 做 更 为 的 深入 介绍 。 


2.3.3 证 据 的 形式 化 处 理 


对 证 据 进行 形式 化 处 理 的 目的 是 将 用 自然 语言 或 者 其 他 非 数 学 语言 表达 的 结构 复杂 的 
多 维 证 据 转 变 为 用 数学 语言 表达 的 可 以 直接 参与 计算 的 形式 。 本 章 将 证 据 的 形式 化 处 理 过 
程 分 为 两 个 步 又 进行 , 即 证 据 预 处 理 和 基本 信任 函数 的 构造 。 


l. 证 据 的 预 处 理 

从 证 据 源 获得 的 原始 证 据 多 为 自然 语言 或 者 其 他 非 数 学 语言 表达 的 证 据 , 且 来 自 不 同 
证 据 源 的 同一 类 证 据 可 能 具有 不 同 的 复杂 结构 ,因此 对 原始 证 据 作 必要 的 预 处 理 显得 十 分 
重要 。 原 始 证 据 预 处 理 的 目标 是 ,把 结构 复杂 多 样 的 自然 语言 表达 的 证 据 转 化 为 第 2 章 
2.1 节 设 计 的 数据 结构 , 即 把 电子 商务 类 业务 反馈 证 据 、 网 络 社 区 类 业务 反馈 证 据 和 网 络 操 
作 行 为 类 业务 反馈 证 据 分 别 转化 为 以 EviCCla. Ide. T. Val. Res. Asse) Evi (Cla, Eve. T. 
Disti) 和 Evi (Cla, T, Lev) 形 式 表 达 的 证 据 。 
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2. 电子 商务 类 业务 反馈 证 据 的 预 处 理 

对 于 任意 一 条 电子 商务 类 业务 反馈 证 据 进 行 预 处 理 后 的 数据 结构 为 Evi(Cla,Ide,T， 
Val, Res, Asse) ,并且 规定 : 

(D 证 据 类 型 变量 Cla 一 1。 

(2) 网 络 主体 身份 变量 Ide€ {一 1,1), 且 Ide 二 1 表明 当前 主体 为 卖家 ,Ide 二 一 1 表明 
当前 主体 为 买 家 。 

(3) 时 间 变 量 工 等 于 当前 证 据 产生 的 时 间 , 即 当前 在 线 交易 发 生 的 时 间 。 

(4) ee Kit Val 等 于 当前 证 据 指向 的 交易 业务 标的 物 的 价值 ,用 货币 计量 。 

(5) 交易 结果 变量 Res€ (—1.0.1). H Res 王 一 1 表明 当前 交易 失败 且 责 任 在 己方 ， 
Res=0 KE Res=1 时 表明 当前 交易 成 功 完成 。 

(6) 交易 评价 变量 Asse€ { 一 1,0,1}, 且 Asse 王 一 1 表明 对 方 给 予 己方 负面 评价 , Asse 二 0 
表明 对 方 给 予 中 性 评价 或 者 未 作 评价 ,Asse 王 1 表明 对 方 给 予 正面 评价 。 

电子 商务 类 业务 反馈 证 据 的 预 处 理 模块 负责 对 获得 的 电子 商务 类 业务 反馈 证 据 进行 上 
述 处 理 , 处 理 后 的 电子 商务 类 业务 反馈 证 据 的 形式 如 下 : 


Evi(1,1,2011.10.1,98,1,1) 


一 条 证 据 的 含义 是 : 该 证 据 指向 的 网 络 主体 于 2011 年 10 月 1 日 作为 卖家 进行 了 一 次 在 

线 交易 ,货物 价值 为 98 元 ,交易 成 功 并 获得 了 正面 评价 。 

3. 网 络 社区 类 业务 反馈 证 据 的 预 

对 于 任意 一 条 网 络 社区 ar 的 数据 结构 为 Evi(Cla, Eve, T. 
Disti ,并 且 规定 : 

(1) 证 据 类 型 变量 Cla—2. 

(2) 事件 变量 Eve € (1.2.3.4) , 且 Eve 1 表明 当前 证 据 指向 的 网 络 主体 的 主页 被 济 
览 ,Eve= 2 表明 原 发 帖 被 浏览 ,Eve= 3 表明 被 管理 员 删 帖 ,Eve 二 4 表明 被 管理 员 禁 止 
发 帖 。 

C3) 时 间 变量 等 于 当前 证 据 产生 的 时 间 , 即 当前 事件 发 生 的 时 间 。 

(4) 事件 判定 变量 Disti 的 值 与 Eve 相关 联 ,具体 取 值 如 表 2. 2 所 示 。 


表 2.2 Disti 与 Eve 对照 的 含义 


Eve Disti 

1 被 浏览 的 次 数 

2 被 浏览 的 次 数 

3 Disti 一 1 ,对象 为 发 帖 者 ;Disti 一 一 1, 对 象 为 跟 帖 者 

4 Disti 二 1. 对 象 被 暂时 禁止 发 帖 ;Disti= 一 1, 对 象 被 永久 禁止 发 帖 或 被 封号 


网 络 社区 类 业务 反馈 证 据 的 预 处 理 模块 负责 对 获得 的 网 络 社区 类 业务 反馈 证 据 进行 
述 处理 , 处 理 后 的 网 络 社区 类 业务 反馈 证 据 的 形式 如 下 : 


Evi(2,1,2010.10.1,4) 


一 条 证 据 的 含义 是 该 证 据 指向 的 网 络 主体 在 某 个 网 络 社区 的 主页 于 2010 4E 10 H 15 
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累计 被 浏览 超过 4000 次 ,但 低 于 5000 次 ; 
Evi(2,4,2010.10.1,- 1) 


这 一 条 证 据 的 含义 是 2010 4E 10 月 1 日 该 证 据 指 向 的 网 络 主体 在 某 网 络 社区 被 无 限期 禁 
止 发 帖 或 者 被 管理 员 封 号 。 

4. 网 络 操作 行为 证 据 的 预 处 理 

对 于 任意 一 条 网 络 操作 行为 证 据 进行 预 处 理 后 的 数据 结构 为 Evi (Cla, T, Lev) ,并且 
规定 : 

(1) 证 据 类 型 变量 Cla—3. 

(2) 时 间 变 量 工 等 于 当前 证 据 所 指向 的 行为 发 生 的 时 间 。 

G) 行为 危害 级 别 ( 或 称 攻 击 级 别 )LevE (1.2.3.4.5) ,攻击 级 别 分 类 如 表 2. 3 Bros, 

表 2.3 危害 级 别 分 类 

攻击 行为 列举 

读 取 文 件 .内 存 数 据 .注册 表 和 进程 ,探测 IP 地 址 、 软 件 版 本 、 操 作 系 
统 指纹 .端口 和 键盘 记录 等 
应 用 或 进程 出 错 `CPU 消耗 .内存 消耗 、 系 统 或 设备 出 错 、. 进 程 资 源 消 
耗 、 网 络 带宽 资源 消耗 .服务 质量 下 降 、 磁 盘 空 间 消耗 等 
算 改 文件 系统 、 内 存 数据 .操作 系统 账户 .口令 或 者 密码 .系统 内 核 .路 
由 数据 库 配置 ,以 及 端口 重 定向 等 
非法 执行 程序 ,非法 提升 操作 系统 权限 、 非 法 提升 数据 库 权 限 .非法 利 
用 资源 、 非 法 开启 后 门 .越权 访问 文件 系统 ,非法 获得 Shell 等 
绕 过 病毒 检测 . 穿 透 防火 墙 、. 绕 过 垃圾 邮件 检测 、 躲 避 IDS/IPS、 静 态 
隐藏 功能 、 运 行 隐 藏 功 能 .通信 隐藏 功能 等 


攻击 级 别 攻击 类 型 


信息 泄露 


2 拒绝 服务 


3 数据 破坏 与 欺骗 


4 入 侵 控 制 


5 对 抗 性 


网 络 操作 行为 证 据 的 预 处 理 模块 负责 对 获得 的 网 络 操作 行为 证 据 进行 上 述 处 理 ,处 理 
后 的 网 络 操作 行为 证 据 的 形式 如 下 : 


Evi(3,2010.10.1,3) 


这 一 条 证 据 的 含义 是 该 证 据 指向 的 网 络 主体 于 2011 年 10 月 1 日 做 出 了 数据 破坏 与 欺骗 类 
的 网 络 攻击 行为 , 且 该 行为 危害 级 别 被 定 为 3。 


2.3.4 基本 信任 函数 的 构造 


l. 识别 框架 的 构造 和 焦 元 的 确定 
对 于 任意 一 个 网 络 主体 ,假设 证 据 十 分 充分 :那么 对 其 信任 情况 的 判定 只 有 两 种 , 即 信 
任 和 不 信任 , 据 此 可 以 构造 判定 某 网 络 主体 信任 情况 的 识别 框架 , 即 
0 — {信任 ,不 信任 } 
简写 为 
@= (rd) (2.21) 
因此 
29 = (Qi. {t}, (d).8) (2, 22) 
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对 于 任意 一 条 证 据 ,由 基本 信任 分 配 函 数 的 定义 可 知 m( 多 ) 二 0;{z} 描 述 了 对 当前 主体 
判定 为 信任 ,m({z) ) 表 达 了 当前 证 据 对 于 该 判定 的 支持 程度 ;{d} 描 述 了 对 当前 主体 判定 为 
不 信任 ,m({d)) 表 达 了 当前 证 据 对 于 该 判定 的 支持 程度 ;© 描述 了 当前 证 据 无 法 判断 当前 
主体 的 信任 情况 ,m(8) 表 达 了 当前 证 据 对 于 该 判定 的 支持 程度 。 因 此 ,对 于 所 有 证 据 ,8 的 
可 能 的 焦 元 有 {4 (dg)9, 本 章 分 别 将 这 些 焦 元 表示 为 命题 T.D、9, 即 

T= {t}, D= {d},@© 
因此 ,本 章 构 造 的 基本 信任 分 配 函 数 的 基本 形式 为 
m(T.D,0) (2.23) 


2. 电子 商务 类 业务 反馈 证 据 的 基本 信任 函数 构造 

本 章 根 据 实 际 电子 商务 中 交易 结果 和 评价 对 于 信任 度 的 影响 来 构造 电子 商务 类 业务 反 
馈 证 据 的 基本 信任 函数 ,对 于 网 络 主体 A, 不 论 他 是 卖家 还 是 买 家 ,具体 的 构造 方法 均 如 
表 2.4 所 示 。 

表 2.4 电子 商务 类 业务 反馈 证 据 mass 函数 
序号 EviCCla,Ide,T,Val,Res,Asse) m(T.D.0) 说 明 

交易 成 功 完成 , 且 获 得 正面 评价 ,认为 
A 可 信 
交易 成 功 完成 , 且 获 得 中 性 评价 或 者 
评价 缺失 ,认为 A 被 不 完全 信任 
交易 成 功 完成 ,但 获得 负面 评价 ,认为 
A 不 可 信 
交易 因 对 方 原因 而 没有 完成 ,有 旦 获得 
正面 评价 ,认为 A 被 不 完全 信任 
交易 因 对 方 原因 而 没有 完成 , 旦 获得 
Ide. T, Val.0.0) (0.0.1) 中 性 评价 或 评价 缺失 ,认为 无 法 判断 
A 是 否 可 信 
交易 因 对 方 原因 而 没有 完成 , 且 获 得 
负面 评价 ,认为 A 不 可 信 
交易 因 A 的 原因 而 没有 完成 ,但 获得 
正面 评价 ,认为 A 被 不 完全 信任 
交易 因 A 的 原因 而 没有 完成 , 且 获 得 
8 (1,1de, T,Val,—1,0) (0,0.5,0.5) 中 性 评价 或 评价 缺失 ,认为 A 被 不 完 
全 信任 


交易 因 A 的 原因 而 没有 完成 , 且 获 得 
负面 评价 ,认为 A 不 可 信 


1 (1,Ide,T,Val,1,1) (1,0,0) 


2 CX Ide. T. Val.1.0) (0.5,0,0.5) 


3 (1,Ide,T,Val,1, 一 1) (0.1.0) 


4 (l,Ide, T, Val.0,1) (0.5,0,0.5) 


a 
a 


6 (1,Ide, T. Val.0.—1) (0.1.0) 


7 (Ide. T. Val. —1.1) (0.5.0.0. 5) 


9 G,Ide, T, Val, —1, —1) (0,1,0) 


其 中 ,证据 EviCCla.Ide. T. Val. Res, Asse) 中 的 变量 Cla Ide, T 和 Val 用 作 计 算 证 据 
的 权重 ,详细 计算 方法 将 在 2. 3. 5 节 论 述 。 

3. 网 络 社区 类 业务 反馈 证 据 的 基本 信任 函数 构造 

本 章 根据 实际 网 络 社区 中 主体 的 行为 对 其 信任 度 的 影响 来 构造 网 络 社区 类 业务 反馈 证 
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据 的 基本 信任 函数 。 对 于 网 络 主体 A, 具 体 的 构造 方法 如 表 2. 5 所 示 。 
表 2.5 网 络 社区 类 业务 反馈 证 据 的 mass 函数 


序号 Evi(Cla, Eve, TT,Disti) m(T,D.8) 说 明 
1 SAM Min (1,0,0) A 的 主页 被 浏览 ,认为 A 可 信 
Dist) 
2 zs Bo Te (1.0.0) A 发 表 的 帖子 被 浏览 ,认为 A 可 信 
€35 8. d5 "m A 发 表 的 帖子 被 管理 员 删 除 , 认为 
` Disti) tt A 不 可 信 
Co 4, d. A 被 管理 员 禁 止 发 帖 ,认为 A 不 
Disti) cad 可 信 
其 中 ,证据 Evi(Cla,Eve,T,Disti) 中 的 变量 Cla, Eve, T 和 Disti 用 作 计 算 证 据 的 权重 ， 


详细 计算 方法 将 在 2. 3.5 节 论 述 。 
4. 网 络 操作 行为 类 业务 反馈 证 据 的 基本 信任 函数 构造 
本 章 根据 实际 网 络 操作 行为 对 网 络 主体 的 信任 度 的 影响 来 构造 网 络 操作 行为 类 业务 反 
馈 证 据 的 基本 信任 函数 。 由 于 正常 的 网 络 操作 行为 占 绝 大 多 数 , 所 以 本 章 只 关注 危害 性 网 
络 操 作 行 为 ,并 将 其 视 为 对 主体 信任 度 产生 衰减 作用 的 因素 。 对 于 网 络 主体 A, 具 体 的 构造 
方法 如 表 2.6 所 示 。 
表 2.6 网 络 社区 类 业务 反馈 证 据 的 mass 函数 


序号 EviCCla, T, Lev) 说 明 


只 要 A 产 生 了 网 络 操作 行为 证 据 , 则 说 
1 (3. T.Lev) (0.1.0) 明 A 做 出 了 危害 性 网 络 操作 行为 , 即 认 
为 A 不 可 信 


其 中 ,证 据 EviCCla,T,Lev) 中 的 变量 Cla, T & Lev 用 作 计算 证 据 的 权重 ,详细 计算 方 
法 将 在 2. 3.5 节 论述 。 


2.3.5 证 据 权 重 的 计算 与 处 理 


我 们 认为 不 同类 型 的 证 据 与 同一 类 型 的 不 同 证 据 对 于 主体 信任 度 的 影响 程度 是 不 同 
的 。 因 此 ,在 信任 度 评估 时 ,根据 各 个 证 据 的 特征 对 其 赋予 一 个 权重 是 十 分 必要 的 。 本 节 对 
多 维 证 据 的 权重 计算 与 处 理 进 行 说 明 。 

1. 证 据 权 重 的 计算 

我 们 设计 的 信任 度 更 新 规则 采用 定期 更 新 的 方法 ,因此 .本章 将 证 据 的 权重 随时 间 衰 减 
的 特性 延迟 到 信任 度 更 新 规则 的 设计 中 。 对 于 任意 一 条 证 据 , 其 权重 W(weight) 计 算 方 法 
如 下 。 

d) 当 Cla—1 时 ,由 2.3. 3 节 可 知 此 证 据 为 电子 商务 类 业务 反馈 证 据 ,其 权重 计算 如 
表 2.7 所 示 。 
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表 2.7 电子 商务 类 业务 反馈 证 据 的 权重 计算 


Cla Ide Val Ww 
Val< 1000 Val/100 
1 1000— Val< 10000 10+ Val/1000 
10000— Val<100000 20 +Val/10000 
1 
Val<100 (Val/100)/4 


(2) 当 Cla—2 时 ,可 知 证 据 为 网 络 社区 类 业务 反馈 证 据 , 其 权重 计算 如 表 2.8 所 示 。 


Cla 


(3) 当 Cla—3 时 ,可 知 此 证 据 为 网 络 操作 行为 类 业务 反馈 证 据 , 其 权重 计算 如 表 2. 9 


所 示 。 


= 100<Val<1000 


(10+ Val/1000) /4 


1000— Val< 10000 


(20+ Val/10000) /4 


表 2.8 网 络 社区 类 业务 反馈 证 据 的 权重 计算 


Eve Disti Ww 

Disti- 1000 0 
1000 Disti-c 10000 Disti/ 1000 
10000 — Disti«c100000 10+ Disti/10000 

i 100000— Disti< 20+ Disti/100000 

30+ Disti/1000000 

10000000<Disti< 100000000 40+ Disti/10000000 
Disti 一 100 0 
100—D 1000 Disti/ 100 
1000<Disti< 10000 10+ Disti/1000 

2 10000— Disti< 100000 20+ Disti/10000 
100000— Disti< 1000000 30+ Disti/100000 

0000000 40+ Disti/1000000 

10000000<Disti< 100000000 50+ Disti/10000000 
1 10 

3 

| 5 

1 20 

4 

= 40 
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表 2.9 网 络 操作 行为 证 据 的 权重 计算 
Cla 


2. 证 据 权 重 的 处 理 

证 据 权 重 的 处 理 是 指 将 证 据 的 权重 反映 到 证 据 合 成 过 程 中 的 方法 。 基 于 G-Gs 合成 规 
则 的 特点 ,本章 在 构造 相似 矩阵 时 引入 证 据 的 权重 值 W ,具体 做 法 如 下 : 

A) 在 基本 信任 函数 构造 完成 并 计算 出 各 个 证 据 的 权重 值 W 后 ,将 相同 信任 函数 的 权 
重 值 相 加 ,得 出 某 一 基本 信任 分 配 函 数 的 权重 。 

(2) 运用 进 一 法 将 各 个 基本 信任 分 配 函 数 的 权重 值 转变 为 整数 , 记 为 wo 

(3) 将 权重 值 w 作为 基本 信任 分 配 函 数 的 个 数 ,并 对 vo 个 信任 分 配 函 数 进行 加 权 
39. 

下 面 举例 说 明 以 上 步骤 。 假 设 证 据 E, E; Es 的 基本 信任 分 配 函 数 分 别 为 (1,0,0)、 
(0,1,0) 和 (1,0,0) ,证 据 的 权重 W 分 别 为 5.3.5 和 2, 则 有 信任 分 配 函 数 (1,0,0) 和 (0,1， 
0) 的 权重 分 别 为 ?和 4。 至 此 ,在 对 基本 信任 分 配 函 数 进行 加 权时 只 需 对 7 个 (1,0,0) 和 4 
个 (0,1,0) 进 行 加 权 平 均 即 可 。 

需要 说 明 的 是 ,使 用 G- Gu, 合成 规则 对 加 权 平 均 后 的 基本 信任 分 配 函 数 进行 合成 的 次 
数 n 一 1 中 的 nn 是 指证 据 的 个 数 , 而 不 是 参与 加 权 平 均 的 基本 信任 分 配 函 数 的 个 数 。 


2.3.6 信任 度 的 计算 和 管理 


信任 度 的 计算 和 管理 由 基于 证 据 的 信任 度 评估 模型 的 信任 度 计算 和 管理 模块 来 完成 ， 
该 模块 包括 G-Gr 证 据 合 成 中 心 和 信任 度数 据 管理 中 心 两 个 子 模块 。 本 节 分 别 介绍 这 两 个 
模块 的 功能 和 算法 。 

1. 信任 度 的 计算 

信任 度 计算 是 G-Gy 证 据 合 成 中 心 的 核心 任务 。 按 照 前 面 章节 所 介绍 的 方法 ,可 以 把 
多 维 证 据 转 变 为 若干 个 形 如 (1,0,0) 的 数组 并 标记 它们 的 权重 ,此 时 便 可 以 利用 G- Gs. 合成 
规则 进行 证 据 合 成 ,其 步骤 如 下 : 

(1) 计 算 各 个 基本 信任 分 配 函 数 的 总 权重 ,并 按照 2. 3.4 节 的 方法 获得 待 加 权 平 均 的 x 
个 基本 信任 分 配 函 数 ,x 等 于 所 有 基本 信任 分 配 函 数 的 总 权重 , 即 参 与 加 权 平 均 的 基本 信任 
分 配 函 数 的 个 数 。 

(2) 运用 式 (2. 10) 计 算 证 据 间 的 两 两 冲突 强度 G,. 记 录 为 

G; (i,j = 1,2,.,7x) 

CD 构造 形 如 式 (2. 11) 的 相似 矩阵 ,由 于 本 章 对 证 据 的 处 理 方法 特殊 ,所 以 相似 矩阵 中 

的 相似 系数 只 会 出 现 0.0.5 和 1。 
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(4) 运用 式 (2. 12) — 5X C2. 14) 计 算 加 强 平均 后 的 基本 信任 分 配 函 数 , 即 
m'CT.D.0) = (m? CD .m (D) m (QO)) 

(5) 运用 式 (2. 19) 和 式 (2. 20) 对 m 合成 n 次 ,n 为 证 据 的 个 数 。 为 减少 运算 量 ,本 章 
采用 算法 2.1 计算 m(A)。 

C60 根据 m(A) 计 算 最 终 信任 度 Tru, 计 算 方法 如 下 : 

Tru = (BelC T) ,PICT)) (2. 24) 

2. 信任 度数 据 的 管理 

信任 度数 据 的 管理 包括 信任 度 的 存储 ,更 新 .检索 和 发 布 等 ,由 于 本 章 的 内 容 不 涉及 信 
任 度 评估 系统 的 具体 实现 ,因此 ,本 节 只 对 信任 度 的 存储 和 更 新 做 简要 介绍 。 

本 章 设 计 的 信任 度 的 存储 结构 为 (1,Tru)。 其 中 ,i 表示 时 间 , 表 达 了 当前 信任 度 值 产 
生 的 时 间 ; 信 任 度 值 为 上 面 的 计算 方法 的 计算 结果 Tru. 其 形式 为 一 个 二 元 数组 , 即 
(Bel(T) ,PICT)) 。 

本 章 设计 的 信任 度 评 估 模 型 采取 定期 评估 的 方式 对 信任 度 值 周 期 性 地 进行 更 新 ,并 规 
定 上 时刻 的 信任 度 值 记 为 Tru,。 信 任 度 的 更 新 算法 如 下 : 

(1) 获取 当期 (1 一 1 到 4 时 间 段 内 ) 证 据 ,运用 上 面 所 述 算 法 计算 当期 基本 信任 分 配 函 
数 Am(A)。 

(2) 取 上 一 期 基本 信任 分 配 函 数 mx(A), 记 为 mia CAD. 

(3) 计算 当前 时 刻 基 本 信任 分 配 函 数 m, CAD) 二 m1(A) 甸 Am(A), 合 成 时 m- CAD 
Am(A) 的 权重 分 别 为 1 和 2。 

(4) ZARO. 24) 计 算 信任 度 Tru, 。 


2.4 EBTrust 信任 度 评估 模型 的 实验 分 析 


我 们 使 用 Java 语言 开发 实现 了 EBTrust 信任 度 评估 模型 的 核心 功能 模块 信任 度 计算 
和 管理 模块 ,并 以 此 为 基础 ,通过 实验 分 析 说 明了 EBTrust 信任 度 评估 模型 具有 抵制 共 谋 
和 恶意 评价 行为 的 功能 。 


2.4.1 信任 度 计算 和 管理 模块 的 设计 与 实现 


1. 功能 模块 设计 

EBTrust 信任 度 评估 模型 核心 功能 模块 涉及 两 个 角色 , 即 管理 员 和 普通 用 户 。 普 通用 
户 既 是 信任 度 评估 的 对 象 也 是 信任 度 评估 结果 的 使 用 者 。 管 理 员 是 系统 的 管理 者 ,负责 系 
统 的 维护 。 普 通用 户 在 系统 中 的 操作 主要 有 用 户 注册 、 用 户 登 录 和 信任 度 查询 。 管 理 员 在 
系统 中 的 操作 主要 有 登录 ,管理 普通 用 户 管理 信任 度 计算 模 块 和 管理 信任 度 管理 模块 。 两 
种 角色 在 系统 中 的 具体 操作 如 图 2.4 所 示 。 

2. 数据 库 设计 和 实现 

本 章 采用 MySQL 5. 5 数据 库 作为 EBTrust 核心 功能 模块 的 数据 库 。 创 建 的 数据 库 名 
称 为 EBTrusteval, 各 个 数据 表 及 其 结构 如 下 。 
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登录 
注册 
1 i ! 
| 管理 普通 用 户 | | 信任 度 计算 | | 信任 度 计 算 管 理 
登录 
pug a Eod 
allelum] [x 信 | [e 
加 | | 改 | | 除 | | 法 任 | |f 
i & | 信 | | 信 | |E E| | 
- 息 | | 息 | | 息 | |m 更 | | 发 
信任 度 查 询 新 | [5 
(0) 普通 用 户 流程 图 (管理 员 用 户 流程 加 


2.4 EBTrust 系统 流程 


D 管理 员 信息 表 
本 系统 的 管理 信息 表 admin 的 结构 如 表 2. 10 所 示 。 


表 2.10 表 admin 的 结构 


TRA & x aka 
id 管理 员 id 主键 
ame 管理 员 名 称 varchar(255) 非 空 
password 管理 员 密码 varchar( 252 可 以 为 空 


2) 普通 用 户 信息 表 

本 系统 的 评估 对 象 同时 也 是 用 户 ,任意 一 个 用 户 在 被 纳 为 评估 对 象 时 ,系统 将 自动 为 其 
分 配 id 和 name。 用 户 只 需 依据 自己 的 实际 身份 信息 在 系统 中 注册 之 后 便 能 完成 普通 用 户 
的 所 有 操作 。 普 通用 户 信息 表 user 的 结构 如 表 2. 11 所 示 。 


表 2.11 X user 的 结构 


字段 名 称 含 义 类 型 约束 
id 普通 用 户 id int 主键 
name 普通 用 户 名 称 varchar(255) 非 空 
password 普通 用 户 密码 varchar(255) 可 以 为 空 


3) mass 表 


mass 表 用 于 存放 经 过 证 据 的 形式 化 处 理 模块 处 理 之 后 的 基本 信任 分 配 函 数 。mass X 
的 结构 如 表 2. 12 所 示 。 


表 2.12 Xx mass 的 结构 


字段 名 称 含 bd : J 约束 
id mass 函数 的 id i 主键 
userid 普通 用 户 的 id i 外 键 


time mass 函数 对 应 的 证 据 产生 的 时 间 datetime 非 空 
t mass 函数 m(T) 的 值 double 非 空 
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续 表 
字段 名 称 Gi X 类 型 E 
d mass 函数 m DO f (i double 非 空 
u mass 函数 m CO) fr) (i double 非 空 
weight 当前 证 据 的 权重 double 非 空 


4) trustDegree 表 
trustDegree 表 用 于 存放 计算 后 的 信任 度 值 。trustDegree 表 的 结构 如 表 2. 13 所 示 。 


表 2.13. 表 trustDegree 的 结构 


字段 名 称 GA x 类 型 约束 
id 信任 度 的 id int 主键 
time 信任 度 值 产生 的 时 间 datetime 非 空 
bel 信任 函数 值 , 即 最 低 信任 度 值 double 非 空 
pl 似 然 函数 值 , 即 最 高 信任 度 值 double 非 空 


5) 实体 的 关系 图 
根据 数据 库 的 建 表情 况 , 可 以 确定 本 数据 库 的 实体 包括 管理 员 (admin)、 普 通用 户 
Cuser) ,基本 信任 分 配 函 数 (mass) 和 信任 度 值 (trustDegree) ,它们 的 关系 如 图 2.5 所 示 。 


admin 


|- - 
mass "m d user » n | trustDegree 


图 2.5 实体 关系 图 


3. 信任 度 计算 功能 的 实现 

信任 度 计算 功能 是 EBTrust 信任 度 评估 模型 的 核心 功能 ,本 章 基 于 Java 语言 实现 了 该 
功能 ,具体 实现 方法 如 下 。 

基于 Java 语言 面向 对 象 的 程序 设计 思想 ,本 章 将 基本 信任 分 配 函 数 定义 为 一 个 类 , 即 
Mass 类 ,在 证 据 合 成 过 程 中 ,实际 上 是 对 Mass 类 的 对 象 进行 运算 和 操作 。Mass 类 的 基本 
代码 模式 如 下 : 


double [] m=new double[3]; 

public void setMass (double x,double y,double z)( 

m[0]-x;m[1]-y;m[21]-7z;) 

证 据 合成 实质 上 是 对 基本 信任 分 配 函 数 的 合成 , 即 对 于 Mass 类 的 对 象 的 合成 。G-G。 
合成 规则 的 最 后 一 步 是 基于 有 效 冲 突 合 成 法 对 加 权 平 均 后 的 基本 信任 度 分 配 函 数 进 行 合 
成 ,而 最 基本 的 合成 过 程 是 对 两 个 加 权 平 均 后 的 基本 信任 分 配 函 数 做 一 次 合成 ,其 方法 为 


public Mass merge (Mass x,Mass y) {+} 


其 关键 计算 方法 如 下 : 
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CD 有 效 冲 突 Gr 的 计算 方法 


double k-Math.round((ml.m[0] x m2.m[1]*ml.m[1] * m2.m[0]) * 10000) /10000.0; 
double h-Math.round((ml.m[0] * m2.m[0] * m1l.m[1] * m2.m[1]* m1l.m[2] * m2.m[2]) * 
10000)/10000.0; 

double gh-Math.round (h/ (k*h) * 10000)/10000.0; 


(2) 合成 后 的 基本 信任 分 配 函 数 的 计算 方法 如 下 


m3.m[0]=Math.round( (ml.m[0] * m2.m[0]+m1.m[0] * m2.m[2]+m1.m[2] * m2.m[0]+ 

(ml.m[0]+m2.m[0])/ (ml.m[0]+m2.m[0]+ml.m[1]+m2.m[1]) * gh * k) * 10000) /10000.0; 

m3.m[1]-2Math.round((ml.m[1] * m2.m[1]*ml.m[1] * m2.m[2]* m1.m[2] * m2.m[1]+ 

(m1.m[1]*m2.m[1])/(m1.m[0]*m2.m[0]*m1.m[1]*m2.m[1]) * gh * k) * 10000) /10000.0; 

m3.m[2]-Math.round((ml.m[2] * m2.m[2]-* (1-gh) * k) * 10000)/10000.0; 

G- Gy, 合成 规则 最 终 需 要 对 加 权 平 均 后 的 基本 信任 分 配 函 数 做 n 一 1 次 合成 ,基于 算 
法 2. 1 实现 的 算法 为 


public class MergeofSeveral (int x,Mass y) {…} 
最 终 信 任 度 计算 只 需 调用 MergeofSeveral 方法 即 可 。 
2.4.2 实验 分 析 


l. 证 据 权重 的 作用 分 析 

EBTrust 信任 度 评估 模型 区 别 对 待 每 一 个 证 据 , 认 为 不 同 的 证 据 对 于 主体 信任 度 的 影 
响 程度 是 不 一 样 的 ,因此 本 章 为 每 一 个 证 据 赋 一 个 权重 ,并 在 信任 度 计 算 算 法 中 体现 这 个 权 
重 。 本 节 的 实验 用 于 演示 并 分 析 证 据 权 重 的 作用 。 

实验 2.1 假设 在 时 间 窗 口 :内 ,系统 搜集 到 关于 主体 A 的 证 据 有 4 条 ,分 别 为 两 条 电 
子 商务 类 业务 反馈 证 据 、 一 条 网 络 社区 类 业务 反馈 证 据 以 及 一 条 网 络 操作 行为 证 据 ,形式 化 
表达 为 : Evil(1,1,t,500,1,1)、Evi2(1,1,t,1500,1,1)、Evi3 (2,1,t,12000) 和 Evi4 (3.1, 
1)。 这 4 条 证 据 的 基本 信任 分 配 孙 数 及 其 权重 在 MySQL 数据 库 中 的 mass 表 中 的 记录 如 
图 2.6 所 示 。 


图 2.6 实验 2.1 的 mass X 


A 信任 管理 与 网 络 安全 


如 果 不 考虑 证 据 的 权重 ,那么 信任 度 计算 的 结果 为 (0. 9933,0.9966) ,表明 主体 A 的 最 
小 信任 度 为 0.9933 ,最 大 信任 度 为 0.9966; 如 果 考 虑 证 据 的 权重 ,那么 信任 度 计算 的 结果 为 
(0.0566,0. 1091) ,表明 主体 A 的 最 小 信任 度 为 0.0566, 最 大 信任 度 为 0.1091。 证 据 4 是 
网 络 操作 行为 证 据 , 产 生 此 类 证 据说 明 主 体 A 做 了 危害 网 络 安 全 的 行为 ,应 该 使 他 的 信任 
度 受 到 惩罚 性 的 衰减 ,而 证 据 的 权重 正好 体现 了 这 一 点 。 

证 据 的 权重 将 证 据 对 于 信任 度 的 影响 进行 分 级 .在 信任 度 计算 中 区 别 对 待 不 同 的 证 据 ， 
这 符合 现实 人 类 社会 建立 信任 的 实际 需求 。 


2. 对 于 共 谋 行为 的 抵制 

现 有 的 信任 度 评 估 模 型 缺乏 抵制 共 谋 行 为 的 有 效 措施 ,使 得 有 些 人 可 以 通过 共 谋 行为 
来 提高 彼此 的 信任 度 , 比 如 在 电子 商务 系统 中 ,通过 相互 大 量 买卖 价格 极 低 的 商品 来 提高 自 
己 的 信任 评级 。 本 模型 的 信任 度 评估 算法 使 得 希望 通过 共 谋 行为 要 达到 预期 效果 的 成 本 大 
大 增加 ,进而 减少 共 谋 行为 。 

实验 2.2 实验 2. 1 中 信任 度 评估 的 结果 为 (0.0566,0. 1091) ,假设 主体 A 希望 通过 共 
谋 行为 来 提升 自己 的 信任 度 值 ,他 的 方法 是 在 线 出 售 价值 500 元 的 商品 并 寻找 共 谋 合伙 人 
来 购买 该 商品 。 那 么 他 要 付出 的 代价 和 获得 的 结果 趋势 如 图 2.7 所 示 , 其 中 横 坐 标 表示 交 
易 总 金额 ,本 章 以 交易 总 金额 来 衡量 提升 信任 度 的 代价 。 


祝 任 度 (BeD) 
2-2 
e oa 


全 Li 
FIG UIN NCC E: 
交易 总 金额 /元 
图 2.7 提升 信任 度 的 开销 趋势 


我 们 选取 几 个 重要 的 点 来 考察 开销 的 大 小 。 由 图 2. 7 可 见 , 将 最 小 信任 度 (Bel 值 ) 提 
升 到 0.6.0.7.0.8.0.9 和 0.95 的 代价 分 别 为 3500 元 .4500 元 .5500 元 .7000 元 和 8500 
元 。 由 此 可 见 ,主体 希望 通过 共 谋 行为 来 提升 信任 度 的 代价 比较 大 ,这样 可 以 有 效 减少 共 谋 
行为 对 于 信任 度 评估 的 影响 。 


3. 对 于 恶意 评价 行为 的 抵制 

现 有 的 信任 度 评估 模型 缺乏 有 效 的 抵制 恶意 行为 的 措施 ,使 得 某 些 网 络 主体 可 以 通过 
与 竞争 对 手 进 行 交 易 并 给 予 恶意 差 评 的 方法 来 降低 竞争 对 手 的 信任 度 。 本 模型 的 信任 度 评 
估算 法 使 得 希望 通过 恶意 评价 行为 要 达到 预期 效果 的 成 本 大 大 增加 ,进而 减少 恶意 评价 
行为 。 

实验 2.3 现 有 主体 A 在 时 间 窗 口 1 内 产生 的 证 据 的 基本 信任 分 配 函 数 如 图 2. 8 所 
示 , 其 信任 度 为 (1.0,1.0); 而 主体 B 希 望 通过 与 A 在 线 交易 并 给 予 恶意 差 评 的 方法 降低 A 
的 信任 度 。 假 设 A 的 在 线 商店 只 出 售 价格 为 500 元 的 商品 ,那么 B 降低 A 的 信任 度 所 需 的 
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开销 趋势 图 如 图 2.9 所 示 。 


QL 5.5 Command Line Client 


Inysql> select * from ma: 


图 2.8 实验 2.3 的 mass X 
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图 2.9 降低 竞争 对 手 信 任 度 的 开销 趋势 


SHAHA 
SS 4 uS uS S 
S sS S ug 


$ da 
GS us 


由 图 2. 9 可 以 看 出 ,当主 体 B 累计 交易 第 10 次 时 ,主体 的 A 的 信任 度 才 低 于 1 ,而 此 时 
B 的 开销 是 5000 元 ; 当 B 继续 与 A 交易 并 给 予 恶 意 差 评 时 ,A 的 信任 度 持续 下 降 ; 当 完 成 
第 15 次 交易 时 ,人 A 的 信任 度 低 于 0.5, 而 此 时 B 的 开销 是 8500 元 。 由 此 可 见 ,主体 B 希 望 
通过 恶意 评价 行为 来 降低 主体 A 的 信任 度 的 代价 比较 大 .而 且 当 A 发 现 B 的 恶意 行为 后 可 
以 拒绝 与 之 继续 交易 ,这 样 可 以 有 效 减 少 恶 意 评 价 行为 对 于 信任 度 评估 的 影响 。 


2.5 本 章 小 结 


本 章 提出 多 维 证 据 概 念 来 扩展 信任 度 评估 的 证 据 , 将 证 据 分 为 电子 商务 类 业务 反馈 证 
据 、 网 络 社区 业务 反馈 证 据 和 网 络 操作 行为 类 业务 反馈 证 据 。 同 时 针对 D-S 证 据 理论 及 其 
改进 展开 深入 研究 ,提出 了 一 种 基于 冲突 强度 G 和 有 效 冲 突 Ga 的 新 的 证 据 合 成 规则 , 即 
G-G, 合成 规则 。 在 此 基础 上 ,本 章 提出 了 一 种 基于 证 据 的 信任 度 评估 模型 EBTrust, 并 在 
理论 研究 的 基础 上 实现 了 EBTrust 的 核心 功能 模块 。 最 后 详细 阐述 了 以 EBTrust 的 模型 
结构 .证 据 的 形式 化 处 理 方法 、 信 任 度 计算 的 核心 算法 和 实现 了 的 EBTrust 的 核心 模块 为 
平台 ,通过 实验 证 明了 EBTrust 具有 抵制 共 谋 和 恶意 评价 行为 的 能 
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第 3 章 基于 行为 检测 的 信任 度 和 评估 技术 


前 面 两 章 已 经 指出 ,目前 信任 度 评 估 所 依据 的 证 据 通常 有 两 类 , 即 凭证 证 据 和 行为 证 
据 。 凭 证 证 据 是 指 网 络 主体 所 拥有 的 某 些 数字 和 凭证。 行为 证 据 是 指 可 证 明 网 络 主体 的 网 络 
行为 的 事实 或 者 记录 。 本 章 专门 讨论 基于 行为 证 据 的 信任 度 评估 技术 , 且 重 点 讨论 基于 网 
络 操作 行为 的 信任 度 评估 模型 和 算法 。 


3.1 网 络 行为 检测 技术 


本 章 所 讨论 的 网 络 操作 行为 是 指 在 网 络 技术 层面 上 表现 的 行为 ,包括 正常 行为 和 入 侵 
行为 。 其 中 入 侵 行为 是 指 诸如 非法 访问 、 口 令 猜测 .DOS 攻击 和 木马 攻击 等 危害 网 络 安全 
的 行为 ,这 些 行为 与 交易 相关 并 可 能 破坏 交易 公平 性 或 者 危害 网 络 安全 。 目 前 利用 网 络 存 
在 的 安全 脆弱 性 ,黑客 针对 网 络 系统 的 人 侵 攻 击 事件 越 来 越 频繁 地 出 现 。 无 疑 , 网 络 主体 实 
施 危 害 性 网 络 操作 行为 ,将 对 其 信任 度 产 生 较 为 严重 的 破坏 性 影响 。 我 们 知道 ,交易 反馈 信 
息 是 普通 用 户 容易 知道 的 ,但 网 络 攻击 行为 却 不 容易 发 现 , 需 要 借助 和 人 侵 检测 和 安全 审计 等 
一 些 特殊 的 网 络 行为 检测 技术 手段 来 识别 。 

目前 网 络 行为 检测 主要 通过 入 侵 检测 技术 实现 ,入 侵 检测 作为 一 种 动态 的 安全 防范 技 
术 , 能 实时 发 现 和 识别 各 种 违反 安全 策略 的 网 络 行为 ,并 能 做 出 记录 ,报警 和 阻 断 等 响应 , 提 
供 了 一 种 比较 积极 主动 的 网 络 安全 防御 手段 。 下 面 概要 地 介绍 人 侵 检测 技术 的 一 般 知 识 ， 
包括 入侵 检测 的 基本 概念 .人 侵 检测 系统 的 功能 结构 `, 和 人 侵 检测 系统 的 分 类 和 入侵 检 测 的 分 
析 方 法 。 


3.1.1 入 侵 检 测 的 基本 概念 


入 侵 (intrusion) 指 的 是 任何 企图 破坏 计算 机 资源 的 保密 性 、 完 整 性 、 可 用 性 和 可 信和 度 的 
活动 。 入 侵 活动 包括 非 授权 用 户 试图 存 取 数据 处理 数据 或 者 妨碍 计算 机 系统 正常 运行 的 
行为 ,以 及 授权 用 户 滥 用 权力 的 行为 。 

所 谓 入 侵 检 测 (intrusion detection) ,就 是 通过 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关 
键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 
袭击 的 迹象 。 

进行 人 侵 检测 的 软件 与 硬件 的 组 合 就 是 人 侵 检 测 系 统 (Intrusion Detection System. 
IDS)。 对 于 一 个 成 功 的 入 侵 检 测 系 统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系 统 ( 包 
括 程序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 而 且 , 它 应 
该 管理 ,配置 简单 ,从 而 使 非 专业 人 员 也 非常 容易 地 获得 网 络 安全 。 另 外 ,入 侵 检测 的 规模 
还 应 根据 网 络 威胁 、 系 统 配置 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 人 侵 后 ,会 及 
时 作出 响应 :包括 切断 网 络 连接 .记录 事件 和 报警 等 。 
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3.1.2 入 侵 检 测 系统 的 功能 结构 


一 个 典型 的 IDS 从 功能 上 可 以 分 为 3 个 组 成 部 分 : 传感器 (sensor) ,分 析 器 (analyzer) 
和 管理 器 (manager) ,如 图 3. 1 所 示 。 


其 中 ,传感器 负责 收集 原始 数据 ,包括 任何 可 能 iiec id 

包含 人 侵 行为 线索 的 数据 ,比如 网 络 数据 包 、 日 志文 分 析 器 (analyzer) 

件 和 系统 调用 的 记录 等 。 传 感 器 将 这 些 数据 收集 起 传感器 senson 

来 ,然后 发 送 到 分 析 器 进行 处 理 。 3 应 用 程序 
分 析 器 又 称 为 检测 引擎 , 它 负 责 从 一 个 或 多 个 传 

感 器 处 接收 信息 ,并 通过 分 析 确 定 是 否 发 生 了 非法 入 HS. ADS EPA NER 


侵 活动 。 分 析 器 的 输出 为 标识 入 侵 行为 是 否 发 生 的 
指示 信和 号 ,例如 一 个 警告 信号 。 该 指示 信号 中 还 可 能 包括 相关 的 证 据 信 息 。 另 外 ,分 析 器 还 
能 够 提供 可 能 采取 的 对 策 的 相关 信息 。 

管理 器 通常 也 称 为 用 户 控 制 台 , 它 以 一 种 可 视 的 方式 向 用 户 提供 收集 到 的 各 种 数据 及 
相应 的 分 析 结果 。 用 户 可 以 通过 管理 器 对 IDS 进行 配置 , 设 定 各 种 系统 参数 ,从 而 对 人 侵 
行为 检测 及 相应 对 策 进行 管理 。 

另外 ,国际 上 一 个 致力 于 入 侵 检 测 系 统 标准 化 工作 的 组 织 (Common Intrusion 
Detection Framework,CIDF) 益 述 了 一 个 人 侵 检测 系统 的 通用 模型 , 它 将 一 个 人 侵 检 测 系 
统 分 为 以 下 组 件 : 

CD 事件 生成 器 (Event Generators ,简称 为 E-box) 。 

(2) 事件 分 析 器 (Event Analyzers ,简称 为 A-box) 。 

(3) 事件 数据 库 (Event Database. fij £k y D-box) 。 

(4) 响应 单元 (Response Unit, ,简称 为 R-box) 。 

CIDF 将 入 侵 检测 系统 需要 分 析 的 数据 统称 为 事件 (event), 它 可 以 是 基于 网 络 的 入 侵 
检测 系统 中 网 络 中 的 数据 包 , 也 可 以 是 基于 主机 的 人 侵 检测 系统 从 系统 日 志 等 其 他 途径 得 
到 的 信息 。CIDF 对 于 各 部 件 之 间 的 信息 传递 格式 .通信 方法 和 标准 API 进行 了 标准 化 。 

按照 CIDF 的 规定 ,上 述 4 种 IDS 组 件 使 用 gidos (generalized intrusion detection 
objects) 来 交换 数据 , gidos 在 CIDF 工作 组 的 CISL (Common Intrusion Specification 
Language) 文 档 中 定义 。 一 个 gidos 有 以 下 几 种 作用 : 记录 某 个 时 间 发 生 的 某 个 事件 ;根据 
某 些 事件 得 出 的 汇总 报告 ;提供 一 个 执行 某 个 动作 的 指令 。 
事件 生成 器 从 IDS 监控 的 计算 机 环境 中 获得 数据 ,并 把 它们 转化 为 CIDF gidos 格式 。 
事件 生成 器 处 理 的 数据 可 以 从 审计 记录 中 得 来 ,也 可 以 来 自 网 络 通信 信息 .或 者 来 自 SQL 
数据 库 中 生成 的 事务 信息 。 事 件 生成 器 在 事件 发 生 后 尽量 快 地 提供 该 事件 的 报告 。 事 件 分 
析 器 接收 其 他 组 件 发 送 的 gidos, 对 其 进行 分 析 并 返回 新 的 gidos( 一 般 是 事件 的 综合 信息 )。 
例如 ,事件 分 析 器 可 以 是 一 个 统计 比较 工具 ,或 者 是 一 个 特征 检查 工具 ,或 者 是 一 个 事件 汇 
总 工具 。 事 件数 据 库 主要 用 于 存储 事件 , 它 也 可 以 存放 其 他 各 种 中 间 的 和 最 终 的 数据 。 响 
应 单元 接收 其 他 单元 递交 的 gidos 并 执行 它们 规定 的 动作 ,动作 包括 中 止 进程 .连接 复位 和 
改变 文件 允许 值 等 。 
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3.1.3 入 侵 检 测 系统 的 分 类 
根据 分 类 的 角度 不 同 , 入 侵 检测 系统 可 以 有 不 同 的 分 类 方法 ,大 致 有 下 面 几 种 ,如 图 3.2 


所 示 。 
入 侵 检测 系统 (IDS) 

控制 策略 时 效 性 响应 方式 信息 源 分 析 方 法 
集 | | 分 间 | | 实 | | 主 | | 被 | | 基 | | 基 | | 误 || 异 
中 | | 布 隔 | | 时 | | 动 | | 动 | | 于 | | 于 | | 用 | | 党 
式 | a] | 批 | | 连 | | 响 | | 响 | | 主 | | 网 SEES 
日 | | 日 任 | | 续 | | 应 | | 应 | | 机 | | 络 | [ww 
aj |>? 务 | | 型 | | 豆 | | 豆 | | 的 | | 的 | | 

c Rd E DN I-A S Ez LES 

型 

g 


3.2 ”入侵 检测 系统 分 类 


l. 按照 分 析 信息 的 来 源 分 类 

这 种 分 类 方法 主要 依据 分 析 数 据 收集 的 来 源 , 将 入 侵 检 测 系统 分 为 以 下 两 种 。 

D 基于 网 络 的 入侵 检 测 系统 

基于 网 络 的 入 侵 检测 系统 的 数据 源 是 网 络 上 的 数据 包 。 一 般 来 说 ,基于 网 络 的 入 侵 检 
测 系统 担负 着 保护 整个 网 段 的 任务 ,需要 获取 和 分 析 网 络 上 传输 的 所 有 数据 包 。 可 以 将 某 
台 主 机 的 网 卡 设 于 混杂 模式 (promiscuous mode) ,获取 和 分 析 网 段 内 的 所 有 数据 包 ; 或 直接 
在 路 由 或 交换 设备 上 放置 人 侵 检 测 模 块 。 

与 基于 主机 的 入 侵 检测 系统 相 比 ,基于 网 络 的 入 侵 检测 系统 的 最 大 优点 是 容易 部 署 ,不 
需要 在 受 保护 的 机 器 上 安全 检测 软件 ,不 占用 被 保护 设备 的 任何 资源 。 另 外 , 它 还 有 隐蔽 性 
好 ,检测 速度 快 、 视 野 宽广 等 优势 。 不 过 , 它 也 有 弱点 ,其 一 是 它 容易 发 出 误 警 消息 ;其 二 是 
它 容 易 受 到 网 络 流量 大 小 的 影响 , 当 网 络 流量 足够 大 时 ,可 能 出 现 丢 包 现象 。 

2) 基于 主机 的 人 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 往往 以 系统 日 志 、 应 用 程序 日 志 等 作为 数据 源 ,当然 也 可 以 通 
过 收集 主机 的 其 他 信息 (如 系统 调用 、 登 录 尝试 文件 访问 与 权限 变化 等 ) 进 行 分 析 。 基 于 主 
机 的 入 侵 检测 系统 保护 的 对 象 就 是 所 在 的 主机 。 

与 基于 网 络 的 人 侵 检测 系统 相 比 ,基于 主机 的 入侵 检测 系统 的 主要 优势 是 它 可 以 更 精 
确 地 判断 入 侵 事 件 , 误 警 率 比 较 低 ;并 且 不 受 网 络 流量 大 小 的 影响 。 不 过 ,其 缺点 也 显 而 易 
见 , 首 先 , 它 需要 占用 被 保护 主机 的 资源 ;其 次 , 它 不 能 检测 到 一 些 网 络 层 的 攻击 。 

这 是 比较 传统 的 分 类 方法 ,把 入 侵 检 测 模 型 大 体 上 分 为 误 用 入 侵 检 测 模 型 (misuse 
detection model) 和 异常 人 侵 检 测 模型 (anomaly detection model) 两 种 ,如 图 3. 3 所 示 。 
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更 改 现存 的 规则 更 新 活动 记录 
时 间 信 息 
GAN ON xz 
审计 数据 攻击 特征 知识 事件 特征 审计 数据 一 | 用 户 活动 记录 
(A 特征 匹配 NCLA Pam 
> 情况 
添加 新 规则 动态 产生 新 的 
活动 记录 

(a) 误 用 检测 模型 (b) 异常 检测 模型 


3.3 按照 分 析 方法 划分 的 入 侵 检测 模型 


3. 按照 分 析 技 术 的 时 效 性 (工作 方式 ) 分 类 

依照 分 析 技 术 的 时 效 性 (工作 方式 ) ,可 以 把 入侵 检测 系统 分 为 以 下 两 类 。 

(1) 实时 入 侵 检测 (在 线 入 侵 检 测 ): 实时 联机 的 检测 系统 , 它 包 含 对 实时 网 络 数据 包 
分 析 和 对 实时 主机 审计 分 析 。 

(2) 脱 机 入 侵 检测 (离线 入 侵 检测 ): 在 事后 分 析 审 计 事件 ,从 中 检查 人 侵 活 动 ,是 一 种 
非 实时 工作 的 系统 。 


4. 按照 系统 的 控制 策略 分 类 

按照 系统 的 控制 策略 和 各 个 模块 运行 的 分 布 方式 不 同 ,可 以 将 入 侵 检测 系统 分 为 以 下 
两 种 。 

(1) 集中 式 人 侵 检测 系统 : 检测 系统 的 各 个 模块 (数据 收集 、 分 析 和 响应 ) 的 运行 都 集 
中 在 一 台 计 算 机 上 运行 ,适合 比较 简单 的 网 络 环境 。 

(2) 分 布 式 入侵 检 测 系统 : 检测 系统 的 各 个 模块 分 布 在 多 台 计算 机 或 设备 上 运行 ,可 
以 有 多 个 数据 采集 器 和 分 析 器 ,一 般 使 用 层次 结构 组 织 。 

5. 按照 响应 方式 分 类 

按照 检测 到 报警 后 系统 的 响应 方式 不 同 , 可 以 将 入 侵 检 测 系统 分 为 以 下 两 种 。 

Q) 主动 响应 入 侵 检测 系统 : 检测 到 报警 后 自动 采取 响应 行为 ,包括 收集 辅助 信息 , 改 
变 环境 以 堵 住 导 致 人 侵 发 生 的 漏洞 ,对 攻击 者 采取 行动 等 。 

(2) 被 动 响应 人 侵 检测 系统 : 采用 报警 .通知 ,报告 和 存档 等 方式 将 信息 提供 给 系统 用 
P ,依靠 管理 员 在 这 一 信息 的 基础 上 采取 进一步 的 行动 。 


3.1.4 入 侵 检 测 的 分 析 方 法 


如 前 所 述 ,根据 检测 和 分 析 方 法 的 不 同 , 入 侵 检 测 技术 主要 分 为 两 大 类 : 基于 特征 
(signature-based) 的 人 侵 检 测 ( 又 称 误 用 检测 , misuse detection) 和 基于 异常 (anomaly- 
based) fff] A (FS Jil] 。 


l. 基于 异常 的 入 侵 检测 

基于 异常 的 人 侵 检测 根据 用 户 的 异常 行为 或 者 对 资源 的 异常 存 取 来 判断 是 否 发 生 入 侵 
事件 。 例 如 ,一 个 用 户 A 一 般 在 早上 9 点 到 晚上 5 点 之 间 登 录 到 服务 器 ,如 果 有 一 天 ,服务 
器 发 现 该 用 户 账号 在 午夜 12 点 登录 到 服务 器 来 ,就 认为 是 一 次 人 侵 事件 。 基 于 异常 的 人 侵 
检测 要 建立 一 个 阔 值 来 区 分 正常 事件 与 人 侵 事件 。 
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基于 异常 的 人 侵 检测 因为 与 具体 系统 无 关 , 通 用 性 较 强 , 甚 至 有 可 能 检测 出 以 前 未 出 现 
过 的 攻击 方法 。 不 过 ,因为 难以 对 整个 系统 内 的 所 有 用 户 行为 进行 全 面 的 描述 ,况且 每 个 用 
户 的 行为 是 经 常 改变 的 ,所 以 它 的 主要 缺陷 在 于 误 检 率 较 高 。 实 际 上 ,基于 异常 的 入侵 检测 
方法 的 最 大 不 足 之 处 是 “异常 并 不 等 于 入 侵 ”, 如 图 3.4 所 示 。 


3.4 异常 与 入 侵 的 比较 


根据 图 3. 4, 可 以 把 异常 与 人 侵 的 关系 分 为 下 面 4 种 类 型 ; 

CD 对 应 图 3.4 区 域 1 的 部 分 ,是 入 侵 但 不 是 异常 。 虽 然 它 是 一 个 人 侵 事 件 , 但 由 于 不 
在 异常 集中 ,所 以 系统 不 能 检测 。 这 类 事件 的 集合 称 为 错误 拒绝 集 (false negatives) 。 

(2) 对 应 于 图 3.4 区 域 2 的 部 分 ,不 是 入 侵 但 是 异常 。 虽 然 不 是 一 个 人 侵 事 件 , 但 是 由 
于 在 异常 集中 ,所 以 会 被 认为 是 一 次 人 侵 事 件 。 这 类 事件 的 集合 称 为 错误 接受 集 (false 
positives) 。 

G) 对 应 于 图 3. 4 区域 3 的 部 分 ,不 是 入 侵 也 不 是 异常 。 这 类 事件 会 被 正确 排除 , 称 为 
正确 拒绝 集 (true negatives) 。 

(4) 对 应 于 图 3.4 区 域 4 的 部 分 ,是 入 侵 同 时 也 是 异常 。 这 类 事件 会 被 正确 检测 , 称 为 
正确 接受 集 (true positives) 。 

基于 异常 的 人 侵 检测 用 于 检测 异常 活动 的 发 生 , 如 果 有 异常 活动 发 生 就 认为 是 有 人 侵 
嫌疑 。 既 然 有 异常 的 概念 ,就 有 相应 的 正常 活动 的 定义 ,并 且 要 对 正常 活动 的 偏离 定义 阔 
值 。 基 于 异常 的 人 侵 检测 方法 主要 有 以 下 几 种 。 

1) 统计 方法 (Statistical Approach) 

基于 异常 的 人 侵 检 测 中 经 常 使 用 统计 方法 ,假设 正常 的 操作 存在 内 在 的 统计 规律 。 入 侵 
检测 系统 观测 主体 (如 用 户 ) 的 活动 并 生成 相应 的 活动 特征 表 (profile)。 活 动 特征 表 含 有 若干 
指标 (measure) 值 ,每 个 指标 值 代表 系统 安全 性 某 个 方面 的 国 值 。 这 些 指 标 值 根据 经 验 值 或 一 
段 时 间 内 的 统计 得 到 。 假 设 S, ,S;,…,S, 代表 指标 Mi «Mz e M, 的 国 值 ,然后 从 某 段 时 间 的 
审计 记录 中 提取 当前 特征 表 ( 世 ,Ts,…,7T,), 如 果 工 E S; 大, 则 表示 i 指标 的 异常 度 大 。 另 
外 也 可 以 使 用 各 指标 闪 值 的 带 权 平方 和 来 做 比较 标准 , 带 权 平方 和 的 表达 式 如 下 : 

Ai Si + A:S? ASSI 

其 中 ,A; 为 5; WREE, AD>. 

特征 表 一 般 含 有 以 下 类 型 的 指标 。 

COD 活动 强度 指标 : 用 来 衡量 用 户 活 动 的 频率 ,如 一 分 钟 内 用 户 产生 的 审计 记录 数 。 

(2) 审计 记录 -分 布 情况 指标 : 用 来 衡量 最 近 审 计 记 录 中 所 有 活动 类 型 的 分 布 情况 ,如 
某 个 用 户 的 文件 存 取 与 I/O 活动 的 分 布 情况 。 

(3) 类 别 指标 : 用 来 在 不 同类 别 中 衡量 某 一 活动 的 分 布 情况 ,如 来 自 不 同 物理 位 置 的 
login 命令 的 相对 频率 ,或 系统 中 每 个 邮件 服务 器 、 编 译 器 、Shell 和 编辑 器 的 相对 使 用 频率 。 

(4) 序数 指标 : 用 数值 来 表示 活动 情况 .如 某 一 用 户 对 CPU 和 1/O 的 使 用 总 值 。 
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使 用 统计 方法 的 优点 是 可 以 利用 相对 成 熟 的 统计 理论 成 果 。 但 使 用 统计 方法 的 一 个 主 
要 缺点 是 入侵 者 可 以 “训练 "该 IDS 使 得 它 把 异常 逐渐 当 作 正常 ; 另 一 个 缺点 是 难以 确定 合 
适 的 阔 值 。 另 外 ,有 些 行为 难以 用 纯 统 计 的 方法 来 建 模 。 

2) 神经 网 络 (neural network) 

利用 神经 网 络 检测 人 侵 的 基本 思想 是 用 一 系列 信息 单元 (命令 ) 训 练 神 经 单元 ,这 样 在 给 
定 一 组 输入 后 ,就 可 能 测 出 输出 。 具 体 来 说 , 它 首 先 搜集 一 些 命令 集 对 神经 网 络 进行 训练 , 然 
后 输入 当前 命令 和 前 W 个 命令 (W 为 已 执行 命令 窗口 的 大 小 ) ,输出 是 预测 的 下 一 个 命令 。 

与 统计 方法 相 比 ,神经 网 络 更 好 地 表达 了 变量 间 的 非 线性 关系 ,并 且 能 自动 学 习 并 更 
新 。 它 能 更 好 地 处 理 原 始 数据 的 随机 特性 , 即 不 需要 对 这 些 数据 作 任何 统计 假设 ,并 且 有 较 
好 的 抗 干扰 能 力 。 这 种 方法 的 最 大 缺点 是 不 能 检测 神经 网 络 输入 集 以 外 的 人 侵 事 件 ,因为 
它 不 满足 神经 网 络 的 输入 事件 。 命 令 窗口 W 的 大 小 也 难以 选取 ,窗口 太 小 , 则 网 络 输出 不 
好 ;窗口 太 大 , 则 网 络 会 因为 大 量 无 关 数 据 而 降低 效率 。 


2. 基于 特征 的 入 侵 检 测 

基于 特征 的 入 侵 检 测 又 称 误 用 检测 (misuse detection), 它 事先 把 入 侵 者 活动 用 特征 模 
式 表 示 , 在 检测 时 将 已 有 的 攻击 特征 与 用 户 的 活动 进行 比较 ,并 以 此 判断 是 否 发 生 了 攻击 行 
为 。 例 如 ,著名 的 Internet 蠕虫 事件 就 是 利用 了 fingerd 和 sendmail 的 漏洞 进行 攻击 ,对 这 
种 攻击 就 可 以 使 用 这 种 检测 方法 。 

基于 特征 的 人 侵 检测 由 于 依据 具体 的 特征 库 进行 判断 ,所 以 检测 准确 度 很 高 ,并 且 因 为 
检测 结果 有 明确 的 参照 ,也 为 系统 管理 员 做 出 相应 的 措施 提供 了 方便 。 使 用 基于 特征 的 入 
侵 检 测 的 一 个 不 足 之 处 是 这 种 方法 需要 对 攻击 进行 编码 ,问题 是 并 不 是 所 有 的 攻击 都 可 以 
用 编码 的 方式 来 很 好 地 表达 ,而且 这 种 方式 不 能 检测 未 知 的 攻击 方式 ,尤其 难以 检测 出 内 部 
人 员 滥 用 权力 和 泄露 机 密 的 行为 。 基 于 特征 的 入侵 检测 方法 大 臻 有 以 下 3 种 。 

1) 特征 字符 串 匹 配 

这 是 一 种 最 简单 的 入 侵 检 测 方式 ,也 是 很 有 效 的 检测 方式 。 对 于 很 多 种 人 侵 手 段 , 如 
FTP 攻击 .远程 缓冲 区 溢出 攻击 `CGI 攻击 等 ,都 会 包含 一 些 特征 字符 串 。 例 如 , FTP 
wuftp260 Siteexec 攻击 包含 特征 字符 串 "SITE EXEC % p". IMAP-x86-linux-buffer- 
overflow 攻击 包含 特征 字符 串 "|E8C0 FFFF FF|/bin/sh", WEB-CGI-PHP CGI 攻击 包含 特 
征 字符 串 "php. cgi? /", 等 等 。 通 过 特征 字符 串 匹 配 ,可 以 立即 发 现 正 在 进行 的 入 侵 。 特 征 
字符 串 匹 配 实现 简单 ,快速 ,检测 结果 明确 ,便于 做 出 响应 。 

这 种 方法 的 缺点 是 ,和 人 侵 者 可 以 通过 一 系列 的 方法 来 躲 过 这 种 人 侵 检 测 。 例 如 ,通过 网 
络 上 数据 打包 的 不 同方 式 , 利 用 不 同 操作 系统 对 网 络 数据 包 的 不 同 处 理 , 采 用 不 同 的 指令 ， 
等 等 ,来 隐藏 特征 字符 串 , 从 而 躲 过 检测 。 

2) 专家 系统 

专家 系统 在 已 有 知识 的 基础 上 做 出 入 侵 判 决 。 知 识 基 于 已 知 的 入 侵 行为 .已 知 的 系统 
漏洞 .安全 策略 的 配置 失误 以 及 期 望 的 系统 行为 。 但 是 ,对 于 知识 库 中 未 知 的 入 侵 行为 ,这 
种 方式 无 法 进行 人 侵 检 测 。 

专家 系统 是 基于 特征 的 检测 中 运用 得 最 多 的 一 种 方法 。 采 用 专家 系统 对 入 侵 进 行 检 
测 ,经 常 是 将 人 侵 的 特征 知识 转化 为 IF-THEN 结构 的 规则 。IF 部 分 为 人 侵 特征 ,THEN 
部 分 为 系统 防范 措施 。 当 IF 部 分 的 条 件 全 部 满足 时 ,触发 THEN 部 分 的 防范 措施 。 其 中 ， 
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IF-THEN 结构 构成 了 具体 攻击 的 规则 库 ,状态 行为 及 其 语义 环境 可 根据 审计 事件 得 到 , 推 
理 机 根据 规则 和 行为 完成 判断 工作 。 

在 具体 实现 中 ,专家 系统 面临 的 主要 问题 是 难以 保证 知识 库 的 完备 性 ,并 且 处 理 效率 比 
较 低 。 因 为 这 些 缺 陷 , 专 家 系统 技术 目前 只 是 在 各 种 研究 原型 中 得 到 应 用 ,而 商业 化 的 产品 
采用 了 其 他 效率 更 高 的 技术 ,其 中 目前 应 用 最 广泛 的 就 是 特征 分 析 技 术 。 与 专家 系统 一 样 ， 
特征 分 析 也 需要 知道 攻击 行为 的 具体 知识 。 但 是 ,攻击 方法 的 语义 描述 不 是 被 转化 为 检测 
规则 ,而 是 在 审计 记录 中 能 直接 找到 的 信息 形式 。 这 样 , 就 无 须 像 专家 系统 一 样 需 要 处 理 大 
量 数 据 ,从 而 大 大 提高 了 效率 。 

3) 状态 转换 分 析 

状态 转换 分 析 技 术 是 UC Santa Barbara 大 学 研发 的 入 侵 检测 技术 。 和 人 侵 攻击 被 表示 
为 被 监测 系统 上 的 一 系列 状态 转换 。 被 监测 系统 可 能 处 于 不 同 的 状态 下 ,状态 和 状态 之 问 
的 转换 需要 由 一 些 关 键 的 行动 来 触发 。 当 一 系列 事件 被 识别 为 一 个 关键 行动 后 ,系统 就 从 
一 个 状态 转换 成 下 一 个 状态 。 系 统 最 初 的 状态 是 安全 正常 的 状态 ,最 后 的 状态 是 发 现 人 侵 
的 状态 。 不 同 的 入 侵 手段 需要 用 不 同 的 状态 转换 规则 去 描述 。 

状态 转换 分 析 技 术 识别 的 是 系统 的 状态 和 关键 的 行动 ,攻击 者 很 难 利用 挫 杂 一 些 别 的 
命令 来 对 实施 攻击 的 命令 序列 进行 隐藏 。 只 要 攻击 会 使 系统 产生 那些 必 经 的 状态 ,状态 转 
换 分 析 技 术 就 不 需要 对 具体 的 入 侵 步骤 和 方法 有 明确 的 了 解 ,因此 在 一 定 程度 上 状态 转换 
分 析 技 术 可 以 检测 未 知 的 入 侵 。 


3.2 基于 行为 检测 的 信任 度 评 估 模 型 


3.2.1 模型 框架 


本 节 所 述 的 基于 网 络 行为 检测 的 信任 度 评估 模型 (以 下 简称 为 NBTVE 模型 ) 包 括 3 个 
功能 层 ,每 层 又 包含 多 个 功能 模块 ,如 图 3.5 所 示 。3 个 功能 层 分 别 是 网 络 行为 信息 采集 
层 、 网 络 行为 分 析 层 和 信任 度 评估 层 。 其 中 网 络 行为 信息 采集 层 包 括 数据 包 采 集 、 协 议 解析 
和 网 络 行为 还 原 3 个 功能 模块 ;网 络 行为 分 析 层 包含 模式 匹配 和 统计 分 析 2 个 功能 模块 ; 信 
任 度 评估 层 包 括 信 任 度 初始 化 、 信 任 度 积分 提升 /降低 和 信任 度 计算 及 更 新 4 个 功能 模块 。 

网 络 行为 信息 采集 层 主 要 是 应 用 网 络 数据 包 嗅 探 技术 分 析 用 户 的 网 络 行为 。 其 中 数据 
包 采 集 模块 主要 是 应 用 网 络 监 听 技术 抓 取 数据 包 。 协 议 解析 模块 是 实时 对 分 组 内 容 进 行 匹 
配 , 根 据 数据 包 的 类 型 和 所 处 的 网 络 层次 对 数据 包 进 行 协议 解析 。 网 络 行为 还 原 模 块 主要 
是 对 采集 的 数据 包 进 行 重组 ,分析 用 户 的 行为 。 

网 络 行为 分 析 层 主要 是 对 采集 到 的 行为 信息 进行 判断 和 识别 ,通过 模式 匹配 和 统计 分 析 
判断 用 户 行为 是 正常 行为 还 是 恶意 行为 ,如 果 是 恶意 行为 ,给 出 报警 级 别 ,并 将 这 些 信息 记 录 
到 知识 库 当 中 。 知 识 库 中 记录 了 用 户 的 历史 行为 ,并 对 用 户 的 网 络 行为 进行 了 分 类 。 通 过 这 
种 方式 可 以 为 每 个 用 户 建立 一 个 行为 档案 ,并 分 析 用 户 正 常 行为 的 属性 ,及 时 地 更 新 规则 库 。 

信任 度 评估 层 是 NBTVE 的 重点 ,信任 度 评估 层 对 采集 的 数据 进行 分 析 ,根据 本 章 设 
计 的 信任 度 评估 算法 ,对 每 个 用 户 的 信任 度 作出 评价 。 信 任 度 评估 层 主 要 涉及 以 下 间 
HB. (1) 初 始 信 任 度 ;(2) 信 任 度 积分 的 提升 和 降低 ;(3) 信 任 等 级 的 计算 。 
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信任 度 初始 化 


模式 匹配 


mam | | "— 


信任 度 | | 信任 度 
| 积分 提升 | | 积分 降低 
网 络 行为 还 原 统计 分 析 | | 
信任 度 计算 及 更 新 
网 络 行为 信息 采集 层 网 络 行为 分 析 层 
信任 度 评估 层 


3.5 NBTVE 模型 功能 模块 


3.2.2 工作 流程 


图 3.6 给 出 了 NBTVE 模型 的 工作 流程 ,网 络 行为 信息 采集 层 首先 应 用 入 侵 检 测 系统 
技术 采集 数据 包 ,然后 进行 协议 解析 并 对 数据 包 进 行 重组 ,还 原 用户 的 行为 。 这 些 信 息 将 交 
给 网 络 行为 分 析 层 ,进行 用 户 行为 模式 匹配 ,并 上 传 到 知识 库 。 信 任 度 评估 层 结合 用 户 网 络 


数据 包 采 集 
i 
协议 解析 
i 
重组 数据 包 
i 
网 络 行为 还 原 
及 解析 
规则 库 -| 模式 匹配 “一 一 一 一 一 
1 ! 


统计 分 析 | 一 一 = 知识 库 


用 户 信息 提取 


Y 
信任 度 积分 降低 信任 度 积 分 提升 


1 
信任 度 计算 及 更 新 


3.6 NBTVE 模型 的 工作 流程 
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行为 对 用 户 的 信任 度 和 信任 等 级 作出 综合 的 评价 。 
NBTVE 模型 中 的 规则 库 是 记录 不 正常 行为 的 数据 库 , 统 计 分 析 模 块 通过 学 习 用 户 行 
为 ,对 用 户 行为 的 正常 属性 值 进行 记录 ,如 果 用 户 的 行为 超出 正常 值 范围 则 认为 是 不 正常 行 
为 。 规 则 库 中 也 包括 一 些 基本 的 非法 行为 的 信息 ,如 特洛伊 木马 和 ping 扫描 攻击 等 。 
NBTVE 模型 中 的 知识 库 是 记录 用 户 网 络 行为 的 数据 库 , 网 络 行为 分 析 层 采集 到 的 信 
息 通 过 分 类 整理 提交 到 知识 库 。 直 接 信任 度 计 算 时 所 应 用 到 的 数据 是 从 知识 库 中 查询 得 到 
的 。 知 识 库 是 连接 网 络 行为 分 析 层 和 信任 度 评估 层 的 桥梁 。 


3.3 基于 行为 检测 的 信任 度 评 估算 法 


3.3.1 信任 度 表 示 与 度量 


1. 初始 信任 度 

日 常生 活 中 ,实体 之 间 的 信任 关系 是 通过 实体 交互 建立 起 来 的 。 在 信任 度 评 估 中 ,实体 
之 间 的 信任 关系 也 是 通过 用 户 的 日 常 表现 给 出 对 用 户 的 一 个 评价 。 对 于 一 个 陌生 的 实体 ， 
算法 将 它 的 初始 信任 度 积分 设置 为 0, 初始 信任 等 级 设置 为 0。 通过 每 次 对 实体 的 网 络 行为 
以 及 交易 行为 情况 进行 评估 ,系统 会 不 断 调整 用 户 的 信任 度 。 

2. 信任 度 的 表示 

本 算法 中 信任 度 的 表示 是 采用 (Tc,Tg) 这 对 参数 来 表示 的 ,Te 代表 用 户 的 信任 等 级 ， 
Tg 代表 用 户 的 信任 度 积分 。 首 先 , 随 着 用 户 正常 行为 的 增加 ,用 户 的 信任 度 积分 会 不 断 地 
提高 , 当 用 户 的 信任 度 积分 提高 到 一 定 的 程度 ,用 户 的 信任 等 级 也 会 相应 地 改变 。 用 户 的 信 
任 等 级 与 信任 度 积 分 的 换算 过 程 中 一 个 重要 的 参数 是 信任 等 级 所 需 最 低 积 分 MinGi, 这 一 
参数 设 定 各 个 等 级 的 信任 度 积 分 的 最 低 阀 值 。Tg 与 Tc 的 关系 可 以 表示 如 下 : 

Tc = Max i (Tg >= MinGi) (3.00 
在 本 算法 中 ,用户 的 信任 度 被 量化 为 7 个 信任 等 级 ,如 表 3.1 所 示 。 


表 3.1 用 户 信任 等 级 


信任 等 级 说 说 å 
EST 不 可 信用 户 信任 等 级 用 户 信任 度 较 好 
0 用 户 初始 信任 等 级 用 户 信任 度 很 好 

1 用 户 信 任 度 较 低 5 用 户 信任 度 非 常 高 


2 用 户 信任 度 一 般 


3.3.2 算法 描述 


首先 通过 每 次 对 实体 的 网 络 行为 及 交易 行为 情况 进行 评估 ,系统 会 不 断 调整 用 户 的 信 
任 度 。 随 着 用 户 网 络 行为 或 者 交易 行为 次 数 的 增加 :用 户 的 信任 度 应 该 随 之 改变 ,用 户 的 信 
任 等 级 也 将 随 之 改变 。 算 法 针对 两 种 类 别 的 用 户 行为 进行 不 同 的 处 理 。 对 于 网 络 行为 , 若 
用 户 本 次 行为 被 检测 为 违规 行为 , 则 根据 用 户 的 信任 度 等 级 ,用户 的 具体 违规 行为 及 警报 级 
别 等 信息 计算 用 户 将 要 被 减少 的 信任 度 积分 ,然后 再 将 原 有 信任 度 积分 减 去 这 个 值 ;反之 ， 


信任 管理 与 网 络 安全 


如 果 用 户 的 行为 被 检测 为 正常 行为 , 则 对 信任 度 积分 进行 提升 计算 。 对 于 交易 行为 , 若 用 户 
的 交易 成 功 ,那么 算法 会 根据 用 户 的 信任 等 级 对 信任 度 进行 提升 ;用 户 交易 失败 ,算法 会 根 
据 用 户 的 信任 等 级 对 信任 度 进行 相应 的 降低 。 
具体 算法 如 下 : 
当 一 个 用 户 的 行为 被 检测 为 违规 行为 或 者 失败 的 交易 行为 ,用 户 的 信任 度 积分 就 会 随 
之 改变 : 
AT, = B, XU, X D, XG, (3.2) 
T, = T, — AT, (3.3) 
其 中 ,信任 度 惩 罚 基 数 B,: 对 用 户 信 任 度 积分 的 调整 是 在 此 参数 的 基础 上 进行 的 。 这 是 一 
个 调整 用 户 信任 度 的 基本 参数 ,相当 于 调整 信任 度 的 一 个 基本 单位 。 
信任 度 惩罚 因子 Up: 这 是 对 信任 度 进行 调整 的 一 个 重要 参数 , 它 设置 的 目的 在 于 对 信 
任 等 级 不 同 的 用 户 的 违规 行为 处 以 不 同 程度 的 惩罚 。 用 户 的 信任 等 级 越 高 ,算法 中 对 用 户 
的 惩罚 就 会 越 严厉 。 
信任 度 惩罚 力度 Dp: 这 是 对 信任 度 进行 调整 的 另 一 个 重要 参数 ,这 个 参数 是 根据 用 户 
的 具体 行为 来 进行 设置 的 。 根 据 对 用 户 行为 的 分 析 , 将 此 参数 设置 为 6 个 类 别 , 分 别 对 应 
K 3. 2 中 的 6 种 级 别 , 即 不 同 的 违规 级 别 有 不 同 的 惩罚 力度 。 这 个 参数 的 设 定 需要 对 用 户 
的 行为 进行 一 定 的 分 析 和 研究 ,进行 统计 分 类 。 表 3. 2 给 出 了 参数 的 取 值 。 其 中 的 违规 行 
为 级 别 参 考 文献 [3] 中 给 出 的 事件 安全 级 别 。 
表 3.2 违规 行为 级 别 中 


1 级 探测 主机 是 否 存活 的 事件 ping 事件 
2 级 收集 操作 系统 或 开放 服务 信息 的 事件 | tep 扫描 事件 2 
3 级 密码 探测 失败 事件 ftp 密码 探测 事件 4 
4 级 远程 漏洞 攻击 失败 事件 Unicode 漏洞 测试 失败 8 


5 级 远程 漏洞 攻击 成 功 事件 Windows 系统 漏洞 攻击 成 功 16 
6 级 系统 被 攻陷 非法 用 户 瓷 取 root 权限 32 


行为 类 别 惩罚 因子 Gr: 这 是 对 信任 度 进行 调整 的 一 个 重要 参数 ,由 于 用 户 的 网 络 行 为 
与 交易 行为 对 信任 度 的 影响 程度 不 同 , 所 以 用 户 不 同类 别 的 行为 对 应 不 同 的 G, 。 此 参数 控 
制 网 络 行为 与 交易 行为 的 权重 。 

式 (3.2) 是 本 次 信任 度 积 分 的 负 增 量 。B, 是 一 个 基数 ,U,、G, FID, 分 别 根据 用 户 的 
信任 等 级 、 用 户 的 行为 类 别 和 用 户 的 违规 行为 级 别 设置 。 在 B, 的 基础 上 计算 ,在 原 信任 度 
积分 的 基础 上 减少 AT, ,得 到 新 的 信任 度 积 分 。 

同 理 , 若 用 户 本 次 行为 被 检测 为 正常 行为 或 成 功 的 交易 行为 , 则 根据 用 户 的 信任 等 级 、 
用 户 的 违规 行为 及 总 行为 次 数 等 信息 计算 用 户 将 要 增加 的 信任 积分 。 

AT, = B, XU, X G, (3.4) 
T, = T, + AT, (3.5) 
其 中 ,信任 度 提升 基数 B, : 对 用 户 信任 度 积分 的 调整 是 在 此 参数 的 基础 上 进行 的 。 这 是 一 
个 调整 用 户 信任 度 的 基本 参数 ,相当 于 调整 信任 度 的 一 个 基本 单位 。 此 参数 与 信任 度 惩 罚 
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基数 对 应 ,用 来 区 别 用 户 的 正常 行为 和 违规 行为 。 

信任 度 奖励 因子 U。: 这 是 对 信任 度 进行 调整 的 一 个 重要 参数 ,设置 它 的 目的 在 于 对 信 
任 等 级 不 同 的 用 户 的 正常 行为 给 予 不 同 程度 的 奖励 。 用 户 的 信任 等 级 越 高 ,算法 中 对 用 户 
f E lit s eR P E o 

信任 度 提 升 因子 变量 GL: 这 个 参数 是 针对 用 户 行 为 的 类 别 设计 的 。 由 于 用 户 的 网 络 
行为 与 交易 行为 对 信任 度 的 影响 程度 不 同 , 所 以 用 户 不 同类 别 的 行为 对 应 不 同 的 C. 。 此 参 
数控 制 网 络 行为 与 交易 行为 的 权重 。 

式 (3.4) 中 是 本 次 信任 度 积分 的 增 量 。B。 是 一 个 基数 ,U。 和 G 分 别 根据 用 户 的 信任 
等 级 和 用 户 的 行为 类 别 设置 。 在 B. 基础 上 计算 ,在原 信任 度 积 分 的 基础 上 增加 AT, ,得 到 
新 的 信任 度 积分 。 

除了 考虑 用 户 网 络 行为 及 交易 行为 对 其 信任 度 积分 的 影响 ,还 要 考虑 到 时 间 因 素 。 用 
户 长 时 间 没 有 登录 网 络 , 则 不 能 完全 根据 用 户 以 前 的 行为 来 判断 用 户 的 可 信和 度 ,用 户 的 可 信 
度 降 低 。 

时 间 误 减 因素 : 每 隔 固定 时 间 进 行 用 户 信任 度 的 衰减 计算 。 时 间 因 素 对 用 户 的 信任 度 有 
一 定 影响 ,但 不 是 主导 因素 。 这 个 衰减 应 该 是 呈现 边际 递增 的 ,这 条 曲线 满足 以 下 两 个 条 件 : 

当 T, 二 T=>0 时 ; 

A(T,.,T,)=1 

M T, —T, >of: 

ACT,.T)) =0 

T, 表示 用 户 最 后 的 上 网 时 间 ,这 个 参数 用 于 记录 用 户 最 后 一 次 的 上 网 行为 发 生 的 时 
fu]. T, 表示 现在 的 时 间 。 这 里 T, MT, 的 单位 是 天 。 本 章 将 信任 度 衰减 函数 设计 为 

ACT, — T= We (3.6) 
T, — T, XACI, — T) K3.7) 

C 是 算法 中 的 重要 参数 , 它 影 响 着 节点 信任 度 变化 的 速度 。 可 以 调整 常数 C 的 大 小 来 

控制 时 间 衰减 因素 对 用 户 信 任 度 的 影响 程度 。 


3.3.3 算法 实例 


假设 用 户 A 现在 的 信任 度 积分 是 5,A 被 检测 到 发 生 一 次 网 络 行为 , 若 此 网 络 行为 为 正 
常 行为 ,那么 应 该 执行 信任 度 提 升 算法 。 首 先 根据 环境 以 及 前 述 算法 中 各 参数 的 说 明 设 置 
参数 ,如 表 3.3 和 表 3. 4 所 示 o 


表 3.3 信任 度 参 数 


信任 等 级 (T.) 所 需 最 低 积分 (MinGi) 奖励 因子 (U。) 惩罚 因子 (Uo) 
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kia 常用 参数 
zoom mo" 
信任 度 惩罚 因子 (Gy) 
信任 度 奖励 因 于 (G.) G, IG, 的 两 个 值 分 别 对 应 网 络 行为 
信任 度 惩罚 基数 (B,) 和 交易 行为 
信任 度 提 升 基数 (B。) 


对 用 户 A 首先 执行 衰减 算法 ,由 于 衰减 算法 主要 是 针对 长 期 没有 操作 的 用 户 而 做 的 衰 
减 计算 ,假设 本 次 执行 不 满足 衰减 条 件 , 则 可 执行 信任 度 提升 算法 ( 式 (3. 4) 和 式 (3. 5)) 
可 得 : 
AT, =0.2X1X 0.2 = 0.04 
T, = 5--0.04 = 5.04 
若 检测 到 A 有 ftp 密码 探测 行为 , 且 此 行为 是 违规 行为 ,违规 级 别 为 3, 则 执行 信任 度 
衰减 算法 ( 式 (3.2) 和 式 (3. 3)) 可 得 : 
AT, = 0.6 X 0.325 X 4 X 0. 2 = 0.156 
T, = 5—0. 156 = 4. 844 


3.3.4 实验 分 析 


为 了 测试 不 同 参数 对 信任 度 积 分 变化 的 影响 ,本 节 设 计 了 实验 1 和 实验 2。 在 实验 1 
中 ,假设 用 户 A,B,C D 的 初始 信任 度 积分 均 为 59. 5。 用 户 A,B,C,D 分 别 发 生 一 次 级 别 
H 1,2,34 的 违规 行为 。 在 实验 2 中 ,假设 用 户 ALBLCLD 的 初始 信任 度 积分 均 为 60。 用 
P ABCD 分 别 发 生 一 次 级 别 为 1.2、3、4 的 违规 行为 。 根 据 NBTVE 算法 可 得 到 各 用 户 
的 信任 度 积分 ,实验 结果 如 图 3.7 所 示 。 从 这 两 组 数据 的 对 比 中 可 以 看 出 ,违规 级 别 越 严 
重 , 用 户 受 到 的 惩罚 就 越 大 。 对 用 户 的 惩罚 也 呈 边 际 递 增 的 规律 。 从 图 3.7 中 还 可 以 看 到 ， 
用 户 的 信任 等 级 越 高 ,惩罚 力度 越 大 , 即 用 户 的 信任 度 越 高 ,对 用 户 的 要 求 越 严格 。 

为 了 检测 NBTVE 算法 的 有 效 性 ,在 实验 3 中 我 们 将 NBTVE 算法 与 基于 交易 行为 的 
信任 度 评估 模型 中 中 的 算法 进行 了 对 比 ,以 下 简称 算法 1 和 算法 2。 在 本 实验 中 设置 前 提 
条 件 如 下 : 用 户 A 的 初始 信任 度 为 0.6, 在 此 基础 上 用 户 B 与 用 户 A 发生 4 次 成 功 的 交易 ， 
并 且 在 第 二 次 交易 发 生 后 用 户 A 被 检测 到 对 某 ftp 服务 器 进行 密码 测 探 。 根 据 算法 1( 采 
HK 3. 3 和 表 3. 4 中 的 参数 ) 与 算法 2 分别 计算 用 户 A 从 初始 信任 度 为 0. 6 到 每 次 交易 后 
的 信任 度 变化 情况 。 算 法 1 中 的 信任 度 积分 等 价 于 算法 2 中 的 信任 度 。 实 验 结果 如 图 3.8 
所 示 ,M1 即 算法 1,M2 即 算法 2。 算 法 1 考虑 了 用 户 的 网 络 行为 ,因此 当 用 户 A 被 检测 到 
违规 行为 时 对 其 进行 了 惩罚 ,A 的 信任 度 降低 。 用 户 A 的 行为 是 具有 极 强 的 危害 性 的 ， 
NBTVE 算法 中 综合 考虑 用 户 的 日 常 网 络 行为 可 以 避免 对 用 户 的 认识 不 全 面 。 用 户 虽然 在 
交易 中 表现 正常 ,但 存在 网 络 人 侵 行为 仍然 表明 用 户 具 有 潜在 的 危险 性 。 将 用 户 网 络 行为 
作为 建立 信任 关系 的 参考 依据 可 以 充分 地 认识 用 户 ,使 信任 度 评估 结果 更 加 真实 可 靠 。 
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图 3.7 不 同 参 数 与 信任 度 积 分 的 关系 图 3.8 NBTVE 算法 与 基于 交易 行为 的 信任 
度 评估 算法 对 比 


3.4 本 章 小 结 


本 章 专门 冰 述 了 一 种 基于 网 络 操作 行为 的 信任 度 评估 模型 和 算法 。 首 先 从 网 络 行为 检 


测 技术 出 发 ,详细 介绍 了 入 侵 检测 系统 的 功能 、 分 类 及 分 析 方 法 ;其 次 在 此 基础 上 提出 了 一 
种 基于 行为 检测 的 信任 度 评估 模型 (NBTVE) ,该 模型 着 重 考虑 了 用 户 的 网 络 操作 行为 ,以 
用 户 的 日 常 网 络 操作 行为 和 交易 行为 作为 信任 度 评估 的 依据 。 本 章 详细 讨论 了 该 信任 度 评 
估 模 型 的 框架 .工作 流程 和 评估 算法 ,并 通过 实验 分 析 了 NBTVE 模型 及 算法 的 有 效 性 。 


[1] 
[2] 
[3] 


[4] 
[5] 
L6] 
[7] 


参考 文献 


曹 天 杰 , 张 永 平 . 信任 管理 在 电子 商务 中 的 实现 [J]. 计算 机 应 用 与 软件 ,2003,28(3): 15-17. 

王 惠 芳 . 开放 分 布 式 系统 中 的 信任 管理 [站 .计算 机 工程 ,2004,28(8): 117-119. 

Xu HongXing, Shan Zheng, Lu Weifeng. Research and Implementation of a Level-based Network 
Intrusion Detection System. Computer Engineering ,2002.28(10). 

张 仕 斌 , 何 大 可 , 盛 志 伟 . 信任 管理 模型 的 研究 与 进展 [J]]. 计算 机 应 用 研究 ,2006 7; 18-22. 
唐 文 , 陈 钟 ， 基 于 模糊 集合 理论 的 主观 信任 管理 模型 研究 [J]]. 软件 学 报 ,2003,14 (8): 1401-1408. 
杨 东 浩 , 蒋 文保 .分 布 式 环境 下 的 管理 模型 研究 [J]. 北京 机 械 工业 学 院 学 报 ,2008,23(2): 53-57. 
Jiang Wenbao, Guo Shaoxu, Chen Wenliang. A Trust Evaluation Model and Algorithm Based on 
Network Behavior Detection. In: 2010 3rd IEEE International Conference on Broadband Network and 
Multimedia Technology . October 2010. 


第 4 章 自 适 应 自动 信任 壤 商 模型 


第 1 章 介 绍 了 自动 信任 协商 (ATN) 的 概念 , 即 “ 通 过 凭证 ,访问 控制 策略 的 交互 披露 ， 
资源 的 请 求 方 和 提供 方 自动 地 建立 信任 关系 ”。 目 前 ,虽然 国内 外 自动 信任 协商 研究 发 展 迅 
速 ,但 由 于 研究 历史 很 短 , 还 存在 许多 不 足 。 例 如 , 现 有 的 大 多 数 ATN 系统 中 访问 控制 策 
略 和 协商 策略 基本 上 都 是 静态 的 ,不 能 根据 环境 的 变化 而 动态 调整 策略 ,不 能 有 效 兼 顾 效率 
和 安全 两 方面 的 需求 。 有 些 系 统 简单 地 采用 热心 策略 (eager strategy), 即 在 信任 协商 前 ， 
请 求 者 接收 到 协商 方 的 访问 控制 策略 后 ,将 所 可 能 满足 策略 的 证 书 全 部 提交 。 而 有 些 系统 
WIR FH] A 35: RI parsimonious strategy), 即 资源 方 要 求 什么 证 书 , 访 问 者 才 提交 什么 证 书 ， 
通过 迭代 交互 来 建立 信任 关系 。 热 心 策略 中 证 书 交 换 次 数 相对 较 少 ,协商 的 效率 高 ,但 是 协 
商 过 程 中 暴露 了 一 些 不 必要 的 证 书 , 可 能 导致 敏感 信息 的 暴露 ; 音 雷 策略 极 大 程度 地 保护 了 
用 户 的 信息 ,但 是 信任 协商 过 程 复杂 ,协商 效率 不 高 。 因 此 ,目前 尚 缺 乏 一 种 既 高 效 又 能 保 
证 安全 级 别 的 协商 机 制 。 

为 了 解决 以 上 问题 ,我 们 提出 了 一 种 新 的 信任 协商 模型 , 即 一 种 自 适 应 自动 信任 协商 
(Adaptive Automated Trust Negotiation, AATN) 模 型 , 它 能 根据 信任 度 评估 结果 动态 调整 
访问 控制 策略 和 协商 策略 ,以 有 效 兼 顾 信任 协商 中 效率 和 安全 两 方面 的 需求 。 本 章 4. 1 35 
阐述 AATN 模型 的 框架 结构 ,4. 2 节 介 绍 AATN 的 工作 流程 ,4. 3 节 重 点 论述 AATN PR 
用 的 自 适应 策略 模式 ,4.4 节 分 析 AATN 的 一 致 性 校 验 器 及 校 验算 法 。 


4.1 ” 自 适 应 自动 信任 协商 模型 框架 


AATN 模型 提出 了 一 种 自 适应 信任 协商 策略 ,该 策略 不 同 于 传统 的 音 畜 策 略 或 热心 策 
Wit ,而 是 根据 用 户 信任 度 动态 调整 访问 控制 策略 和 证 书 的 披露 规则 ,对 具有 不 同 信任 度 的 用 
户 使 用 不 同 的 访问 控制 策略 , 即 对 于 信任 度 较 高 的 用 户 使 用 相对 宽松 的 访问 控制 策略 ,对 信 
任 度 较 低 的 用 户 使 用 相对 严格 的 访问 控制 策略 。 自 适应 自动 信任 协商 策略 的 特点 在 于 : 

CD 在 信任 度 高 的 用 户 之 间 相 互 协商 时 ,通过 选择 宽松 的 访问 控制 策略 来 减少 敏感 证 
书 的 披露 ,从 而 简化 协商 过 程 , 大 大 提高 信任 协商 的 效率 。 

(2) 在 信任 度 低 的 用 户 之 间 相互 协商 时 ,通过 选择 严格 的 访问 控制 策略 来 严格 审查 协 
商 的 双方 ,从 而 使 得 协商 过 程 变 得 更 为 谨慎 ,大 大 提高 信任 协商 的 安全 性 。 

通过 采用 自 适应 自动 信任 协商 策略 ,AATN 模型 能 够 灵活 动态 地 建立 信任 关系 ,可 以 
根据 信任 度 评估 结果 动态 调整 访问 控制 策略 和 协商 策略 ,以 有 效 兼顾 自动 信任 协商 中 效率 
和 安全 两 方面 的 需求 。 自 适应 自动 信任 协商 区 别 对 待 每 个 请 求 者 ,对 于 相同 的 服务 或 者 资 
源 , 协 商 策略 根据 用 户 的 信任 度 ,要 求 不 同 的 请 求 者 披露 不 同 的 凭证 集 ,进而 建立 信任 关系 。 

如 图 4.1 所 示 , 自 适应 自动 信任 协商 模型 主要 包括 信任 凭证 库 、 访 问 控制 策略 库 、 协 商 
策略 ,信任 度 评估 一 致 性 校 验 器 以 及 协商 协议 。 
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4.1 自 适应 自动 信任 协商 模型 框架 


信任 凭证 库 中 主要 包含 两 种 凭证 : 信任 凭证 与 声明 。 信 任凭 证 描述 信任 凭证 持 有 者 的 
身份 或 一 些 属性 ,这 些 属性 由 属性 对 (变量 名 、 值 ) 描 述 ,信任 凭证 必须 经 过 信任 权威 机 构 的 
认证 ,具有 可 验证 性 和 不 可 伪造 性 。 声 明 描 述 信任 凭证 持 有 者 的 一 些 特别 信息 ,声明 不 必 有 经 
过 信任 权威 机 构 的 鉴定 ,但 是 声明 的 使 用 更 加 灵活 .能 更 好 地 规范 所 提供 的 服务 。 本 模型 中 
涉及 一 种 特殊 的 凭证 即 信任 度 凭证 , 即 由 信任 度 评估 中 心 颁发 的 具有 评估 中 心 签 名 的 凭证 ， 
凭证 中 包含 了 某 实体 的 信任 度 等 级 信息 。 

访问 控制 策略 库 中 包含 了 凭证 的 访问 控制 策略 以 及 服务 /资源 访问 控制 策略 。 当 协商 
策略 接收 到 访问 资源 请 求 消息 时 ,需要 访问 控制 策略 管理 器 在 访问 控制 策略 库 中 查找 对 应 
的 访问 控制 策略 ,返回 给 协商 策略 模块 。 协 商 策略 从 一 致 性 校 验 器 得 到 对 方 要 求 的 信任 凭 
证 集合 时 ,同样 需要 在 访问 控制 策略 库 中 检索 这 些 证 书 的 访问 控制 策略 。 

一 致 性 校 验 器 对 给 定 的 凭证 集合 、 信 任 度 信息 、 访 问 控制 策略 和 请 求 进行 判定 ,验证 凭 
证 集合 是 否 满足 访问 控制 策略 ,是 否 能 够 解锁 这 个 请 求 。 一 致 性 校 验 器 还 需要 验证 凭证 的 
有 效 性 ,如 果 和 凭证 集合 中 包含 证 书 链 ,一致 性 校 验 器 需要 构造 凭证 链 。 协 商 策略 收 到 访问 控 
制 策略 时 ,将 证 书 策略 以 及 所 有 的 凭证 交 给 一 致 性 校 验 器 ,一 致 性 校 验 器 可 以 找 出 凭证 集合 
中 满足 策略 的 所 有 子 集 , 并 且 能 够 根据 凭证 敏感 性 找 出 代价 最 小 的 披露 凭证 集合 。 

信任 协商 会 话 发 起 后 ,协商 策略 接收 会 话 消息 ,协调 整个 信任 协商 的 进行 。 一 个 协商 策 
略 就 是 一 个 函数 , 它 的 输入 是 当前 的 协商 状态 ,输出 是 一 方 应 该 向 另 一 方 显示 的 下 一 个 信任 
凭证 和 访问 控制 策略 的 集合 。 协 商 策略 模块 主要 负责 接收 并 处 理 协商 主体 发 送 过 来 的 消 
息 , 并 对 其 做 出 响应 。 协 商 策略 模块 接收 到 请 求 消息 , 则 处 理 请 求 消息 ,获取 对 方 信任 度 信 
息 ,返回 访问 控制 策略 ;协商 策略 接收 到 访问 控制 策略 消息 , 则 将 访问 控制 策略 交 给 一 致 性 
校 验 模块 检索 满足 策略 的 凭证 集合 并 返回 。 协 商 策 略 接收 到 包含 凭证 的 消息 ,; 则 将 凭证 集 
合 以 及 发 送 给 对 方 的 访问 控制 策略 交 给 一 致 性 校 验 器 ,一 致 性 校 验 器 将 验证 结果 返回 ,协商 
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策略 根据 返回 的 结果 对 协商 做 出 反馈 。 如 果 协 商 超时 或 者 一 方 不 能 提供 满足 对 方 访问 控制 
策略 的 凭证 , 则 终止 信任 协商 。 

信任 度 评估 模块 主要 是 对 信任 协商 主体 的 可 信和 度 进行 评价 ,其 信任 度 评估 算法 在 前 面 
章节 中 已 作 介绍 。 系 统 根据 信任 度 评估 算法 对 信任 协商 主体 的 信任 度 进行 初始 化 和 动态 调 
整 。 服 务 提供 者 在 收 到 请 求 者 发 出 信任 协商 请 求 的 同时 ,也 收 到 了 请 求 者 的 信任 赁 证。 该 
凭证 由 信任 度 评 估 模 块 颁发 ,记录 了 请 求 者 的 信任 度 信 息 , 以 及 获取 凭证 的 时 间 等 信息 。 信 
任 协商 策略 根据 用 户 的 信任 度 对 用 户 应 用 适当 的 访问 控制 策略 。 


4.2 自 适 应 自动 信任 协商 工作 流程 


在 信任 协商 过 程 中 ,一 般 情况 下 协商 双方 是 为 了 一 个 共同 的 目标 而 进行 信任 协商 。 
假设 实体 A 为 了 访问 实体 B 的 某 个 资源 发 起 信任 协商 ,那么 称 A 为 请 求 方 ,B 为 被 请 求 
方 。 请 求 方 信任 协商 代理 发 送 协商 会 话 请 求 , 判 断 被 请 求 方 信任 协商 机 制 是 否 同意 会 话 
请 求 , 否 , 则 协商 失败 ,不 可 以 访问 被 请 求 方 的 服务 或 者 资源 ;是 , 则 接受 对 方 消息 ,并 判 
断 对 方 消息 中 包含 的 信息 是 访问 控制 策略 和 信任 凭证 还 是 访问 资源 授权 信息 ,如 果 是 访 
问 资源 授权 信息 , 则 协商 成 功 , 可 以 访问 所 述 被 请 求 方 信任 协商 机 制 的 服务 或 者 资源 ; 
否 , 则 判断 对 方 消息 中 包含 的 信息 是 访问 控制 策略 还 是 信任 凭证 ,判断 是 策略 , 则 查找 凭 
证 库 中 是 否 包含 满足 访问 控制 策略 的 凭证 ,判断 凭证 是 否 受 保护 , 否 , 则 将 满足 条 件 的 凭 
证 发 送 给 所 述 被 请 求 方 信任 协商 机 制 ;是 , 则 查看 对 方 信任 度 ,根据 信任 度 查 找 凭证 对 应 
的 访问 控制 策略 ,将 访问 控制 策略 发 送 给 所 述 被 请 求 方 信任 协商 机 制 ; 判 断 是 凭证 , 则 一 
致 性 校 验 器 验证 凭证 ,判断 是 否 满足 访问 控制 策略 ,满足 则 将 解锁 的 凭证 或 者 访问 控制 
策略 ,发 送 给 所 述 被 请 求 方 信任 协商 机 制 ;不 满足 则 协商 失败 ,不 可 以 访问 所 述 被 请 求 方 
信任 协商 机 制 的 服务 或 者 资源 。 

被 请 求 方 信任 协商 机 制 接收 到 协商 会 话 请 求 , 同 意 信任 协商 ,检查 会 话 消息 中 的 请 求 资 
源 或 服务 是 否 存在 ,不 存在 则 信任 协商 失败 ,所 述 请 求 方 信任 协商 机 制 不 可 访问 所 述 被 请 求 
方 信任 协商 机 制 的 服务 或 者 资源 ;存在 则 查看 请 求 方 的 信任 度 , 根 据 用 户 的 信任 度 等 级 在 访 
问 控制 策略 库 中 查找 对 应 的 访问 控制 策略 ,并 发 送 访问 控制 策略 。 接 收 所 述 请 求 方 信任 协 
商机 制 的 消息 ,查看 请 求 方 消息 中 包含 的 信息 是 访问 控制 策略 还 是 信任 凭证 ,若是 策略 , 则 
判断 策略 检索 凭证 库 中 是 否 包 含 满 足 访问 控制 策略 的 凭证 ,不 包含 则 信任 协商 失败 ,所 述 请 
求 方 信任 协商 机 制 不 可 访问 所 述 被 请 求 方 信任 协商 机 制 的 服务 或 者 资源 ,包含 则 判断 凭证 
是 否 受 保护 , 否 , 则 将 满足 条 件 的 凭证 发 送 给 所 述 请 求 方 信任 协商 机 制 , 是 则 查看 对 方 信任 
JE ,将 证 书 对 应 的 凭证 访问 控制 策略 发 送 给 所 述 请 求 方 信任 协商 机 制 :若是 凭证 , 则 一 致 性 
校 验 器 验证 凭证 是 否 满足 访问 控制 策略 ,不 满足 则 信任 协商 失败 ,所 述 请求 方 信任 协商 机 制 
不 可 访问 所 述 被 请 求 方 信任 协商 机 制 的 服务 或 者 资源 ,满足 则 判断 收 到 的 所 有 证 书 是 否 包 
含 一 个 可 以 满足 最 终 资源 或 者 服务 访问 控制 策略 的 证 书 集合 , 否 , 则 将 解锁 的 凭证 或 者 访问 
控制 策略 发 送 给 所 述 请 求 方 信任 协商 机 制 ,是 则 协商 成 功 ,授予 所 述 请 求 方 信 任 协 商机 制 访 
问 服务 或 者 资源 的 权限 。 


以 上 所 述 的 自 适应 自动 信任 协商 是 一 个 相互 之 间 多 次 披露 消息 的 过 程 。 信 任 协商 中 的 
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访问 控制 策略 和 凭证 披露 过 程 在 一 次 复杂 的 信任 协商 中 会 执行 多 次 。 


本 节 用 一 个 一 般 的 例子 来 介绍 信任 协商 的 工作 流程 。 实 例 中 A 和 B 进行 信任 协商 ,A 
要 求 访问 B 的 资源 R,B 获取 A 的 信任 度 ,针对 A 的 信任 度 ,B 检索 到 对 RR 定义 的 访问 控制 
策略 P,, 将 P, 发 送 给 A。A 在 收 到 BB 的 访问 控制 策略 P. 后 ,检索 证 书库 ,检索 到 满足 策略 
,的 证 书 集 合 Cu 和 Co. 证书 Cs 包含 敏感 信息 , 受 访问 控制 策略 保护 。A 获取 B 的 信任 
度 , 根 据 B 的 信任 度 检索 访问 控制 策略 库 , 检 索 到 访问 控制 策略 Pe, o A 将 Ca 和 Pe, 发送 
给 B。B 收 到 访问 控制 策略 之 后 检索 凭证 库 ,检索 到 证 书 Cu 满足 访问 控制 策略 Pe, ,并 且 
Cu 不 受 访问 控制 策略 保护 ,B 将 Cu 发 送 给 A。A 验证 证 书 Ca 满足 访问 控制 策略 Pe, ,将 
Co RIRA Be B 收 到 凭证 后 验证 C 和 Ce 满足 访问 控制 策略 P,,B 授予 A 访问 资源 R 的 权 


利 。 整 个 协商 过 程 可 概括 如 下 : 


CD. A: 向 B 提 出 申请 ,请 求 访问 资源 R. 
(2) B: 将 访问 控制 策略 已 ,发送 给 A。 


CD. A: 请 看 我 的 证 书 Cu 和 访问 控制 策略 Pe, 。 


OD B: 请 看 我 的 证 书 Cu 。 


O) A; 请 看 我 的 有 关 Cs 凭证 。 


(6) B; 授权 访问 资源 R。 


A 与 B 之 间 信 任 协商 机 制 的 内 部 流程 见 图 4.2 和 图 4. 3。 


Q@ 收 到 B 的 策略 P。 @@ 检 索 证 书 Cu ,Cu( 清 足 P) 
证 书 
B 的 策略 信任 度 评估 @ 针 对 证 书 
Cu 和 Cw 检索 ”A 的 证 书 
og, samep CTP 
B 策略 Pc 
证 书 i 
B 的 证 书 @ 收 到 B 的 凭证 Chi( 满 足 Pcw) 
@ 验 证 凭证 Ch A 的 策略 
P 回 发 送 A 的 凭证 Cu | ESREPG. 
(eman Vu | 访问 控制 策略 Pu 
isque 加 发 送 A 的 凭证 Cw 一 致 性 验证 器 
A 


------ 一 信任 度 信息 的 传递 


A 信任 协商 工作 流 


4.2 实体 A 信任 协商 的 内 部 工作 流程 
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(DA 请 求 资源 R @@ 检 索 证 书 Cu 
Tz 
证 书 


A 的 策略 信任 度 评估 Oy A ET 
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一 -一 A 制 策略 P 
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B 
@ 验 证 凭证 Cu 和 Cs 
EBEP, 


TTN | @ 发 送 访问 控制 策略 P， 
人 传递 给 A -| 
y @ 发 送 B 的 凭证 Cw 一 致 性 验证 器 


------ 一 信任 度 信息 的 传 弟 
B 信 任 协商 工作 流 


4.3 实体 B 信 任 协商 的 内 部 工作 流程 


4.3 自 适 应 策略 模式 及 分 析 


4.3.1 自 适 应 策略 模式 


本 节 通 过 信任 协商 中 一 个 典型 案例 来 说 明 自 适应 自动 信任 协商 策略 。 为 了 方便 说 明 问 
题 ,假设 一 次 消息 只 能 传递 一 个 访问 控制 策略 或 者 信任 凭证 。 

两 位 在 线 书 店 代理 商 Bob 与 Candy 是 商业 合作 伙伴 关系 ,也 就 是 说 Bob 书店 的 会 员 与 
Candy 书店 的 会 员 可 在 这 两 个 书店 享受 打折 优惠 。 顾客 Alice 是 Candy 的 会 员 ,她 想 在 
Bob 的 书店 以 打折 价 买书 。Bob 要 求 Alice 出 示 有 效 会 员 卡 及 信用 卡号 。 由 于 信用 卡带 有 
隐私 信息 ,Alice 只 能 向 经 过 BBB( 信 誉 授权 机 构 ) 认 证 的 组 织 公开 信用 卡号 5 。 采 用 将 音 策 
略 的 协商 过 程 如 图 4.4 所 示 。 

采用 热心 策略 ,协商 过 程 如 图 4. 5 所 示 。 

下 面 介绍 采用 自 适应 信任 协商 策略 的 协商 过 程 。 

E Bob 书店 与 多 个 用 户 成 功 交易 ,信誉 较 好 ,假设 Bob 的 信任 度 等 级 (TG) 为 3。Alice 
的 信任 度 等 级 为 0。Alice 根据 Bob 的 信任 度 调整 访问 控制 策略 ,不 需要 验证 Bob 的 
"Candy 合作 伙伴 属性 ”凭证 。 协 商 过 程 如 图 4.6 所 示 。 

随 着 Bob 书店 的 生意 越 来 越 好 ,完善 的 服务 使 Bob 书店 的 信誉 度 提升 ,在 信任 协商 过 
程 中 Bob 的 信任 度 也 提高 ,信任 等 级 达到 非常 高 的 级 别 。 假 设 这 时 Bob 的 信任 等 级 为 5， 
Alice 的 信任 等 级 为 0。 那 么 Alice 相应 地 对 访问 控制 策略 进行 调整 ,Bob 不 用 出 示 任 何 凭 
证 ,Alice 将 所 需 的 凭证 直接 发 送 给 Bob。 协 商 过 程 如 图 4.7 所 示 。 
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图 4.6 自 适应 信任 协商 流程 1 


Alice 通过 经 常 光顾 Bob 的 书店 积累 了 较 高 的 信誉 ,这 时 Bob 书店 对 Alice 也 更 加 信任 
了 。 假 设 这 时 Bob 的 信任 等 级 为 5,Alice 的 信任 等 级 为 3。 双 方 进行 协商 时 ,基于 双方 信任 
度 较 高 ,不 需要 再 出 示 凭 证 就 可 直接 使 Alice 享受 打折 服务 。 协 商 过 程 如 图 4.8 所 示 。 
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图 4.8 自 适应 信任 协商 流程 3 


4.3.2 实验 分 析 


一 次 成 功 信任 协商 的 时 间 主 要 由 证 书 和 策略 交换 时 间 、 证 书 发 现 与 检索 时 间 以 及 一 臻 
性 校 验 时 间 组 成 。 表 4.1 列 出 了 上 述 信任 协商 过 程 中 的 时 间 开 销 对 比 数据 。 
表 4.1 信任 协商 过 程 中 时 间 开销 的 对 比 
协商 策略 /事件 发 生 次 数 凭证 策略 检索 | 任 证 策略 披露 | 一 致 性 校 验 
音 畜 策略 0 4 4 3 
热心 策略 
自 适应 协商 策略 
Bob; TG— —1; Alice; TG— —1 
Bob: TG—0; Alice; TG—0 
Bob: TG—3; Alice; TG—0 
Bob; TG—5; Alice; TG—0 
Bob: TG—5; Alice; TG—3 


0 
2 
2 
2 
2 
1 


另外 ,我 们 采用 两 台 相 同 配置 的 PC 作为 Bob 和 Alice, 来 模拟 打折 服务 。 比 较 热 心 策 
略 . 自 适应 策略 和 音 盏 策略 在 协商 效率 上 的 差别 ,针对 上 述 协商 过 程 编 写 相应 的 信任 协商 策 
略 , 记 录 各 个 协商 过 程 的 时 间 。 实 验 结果 如 图 4.9 所 示 。 从 图 4.9 中 可 以 看 出 ,在 用 户 信任 
度 较 低 ,接近 初始 信任 度 时 , 音 吾 策略 与 自 适应 协商 策略 开销 时 间 差 别 不 大 ,热心 策略 开销 
较 小 ; 随 着 用 户 信任 度 的 提高 , 自 适应 协商 策略 开销 时 间 逐 渐 缩 短 , 趋 向 于 热心 策略 开销 时 
间 ; 当 用 户 信任 度 达到 一 定 程度 时 ,不 需要 交换 凭证 和 策略 ,直接 访问 资源 , 自 适应 协商 策略 
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d 


的 开销 时 间 最 短 。 信 任 协商 过 程 越 复杂 , 自 适 应 协商 策略 的 优势 就 越 明 显 。 用 户 信任 度 越 
高 ,信任 协商 过 程 越 简单 ,信任 协商 时 间 越 短 。 
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4.9 ”热心 策略 、 自 适应 策略 和 音 青 策略 的 对 比 


4.4 一 致 性 校 验 器 


一 致 性 校 验 器 是 AATN 模型 中 的 一 个 重要 组 成 部 分 ,其 中 一 致 性 校 验算 法 更 是 所 有 自 
动 信 任 协商 系统 的 核心 要 素 。 一 致 性 校 验 器 可 以 判断 给 定 的 信任 凭证 集合 是 否 能 够 满足 针 
对 请 求 资源 定义 的 本 地 策略 。 如 果 将 一 致 性 校 验 器 看 作 一 个 函数 , 它 的 输入 是 信任 凭证 集 
合 ,访问 控制 策略 以 及 对 资源 的 访问 请 求 , 它 的 输出 是 判定 结果 和 引导 信息 。 它 将 判定 的 结 
果 反 馈 到 协商 策略 模块 。 一 致 性 校 验 器 在 验证 证 书 是 否 满足 访问 控制 策略 时 ,首先 验证 信 
任凭 证 的 有 效 性 ,在 进行 匹配 时 过 滤 掉 无 效 的 证 书 。 一 致 性 校 验 器 的 另 一 个 重要 功能 就 是 
针对 给 定 的 访问 控制 策略 检索 本 地 满足 策略 的 信任 凭证 集合 。 信 任 协商 是 信任 凭证 和 访问 
控制 策略 的 披露 过 程 。 协 商 策略 在 对 策略 模式 进行 选择 后 ,由 一 致 性 校 验 器 来 进行 后 续 的 
工作 。 

自动 信任 协商 对 一 致 性 校 验 器 提出 了 更 高 的 要 求 , 自 动 信任 协商 要 求 协商 双方 在 一 致 
性 校 验 失 败 时 , 即 对 方 提供 的 信任 凭证 不 能 满足 本 地 的 访问 控制 策略 时 ,给 予 对 方 有 价值 的 
反馈 信息 以 引导 信任 协商 的 进行 ,由 于 满足 一 条 访问 控制 策略 的 信任 凭证 集合 往往 不 止 一 
个 ,所 以 当 一 方 提供 的 凭证 集合 不 能 满足 对 方 的 访问 控制 策略 时 ,并 不 代表 此 次 协商 没有 成 
功 的 路 径 , 因 此 这 时 需要 给 提供 凭证 的 一 方 有 价值 的 反馈 信息 才能 引导 信任 协商 的 继续 
进行 。 

目前 已 经 存在 一 些 针对 特定 系统 的 一 致 性 校 验算 法 。 信 任 管理 系统 如 PolicyMaker 和 
KeyNote 等 提出 了 适应 自身 系统 的 一 致 性 校 验算 法 。 在 这 些 信任 管理 系统 中 ,一 致 性 校 验 
器 提供 了 验证 一 个 信任 凭证 集合 是 否 可 以 满足 特定 访问 控制 策略 的 功能 。 

PolicyMaker 中 实现 的 一 致 性 校 验算 法 需要 解决 诸如 断言 的 调用 顺序 .断言 的 调用 次 
数 和 丢弃 产生 冲突 的 断言 等 一 系列 问题 中 。KeyNote 的 一 致 性 校 验算 法 是 一 种 深度 优先 
算法 ,其 主要 思想 是 采用 递归 的 方式 试图 查找 到 至 少 一 条 能 够 满足 请 求 的 策略 断言 。 
REFREE 能 够 在 一 致 性 证 明 验 证 时 自动 收集 并 验证 安全 信任 凭证 的 可 靠 性 ,应 用 系统 仅 需 
给 出 初始 的 安全 策略 ` 安 全 信任 凭证 和 验证 内 容 以 及 一 些 必要 的 验证 上 下 文 信息 ,这 一 点 
有 利于 该 信任 管理 系统 的 使 用 。 自 动 信任 协商 系统 如 TrustBuilder 也 提出 了 适合 自身 的 一 
些 一 致 性 校 验 器 算法 ,但 在 信任 协商 失败 信息 反馈 上 仍 存在 不 足 。 
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在 探讨 一 致 性 校 验 器 之 前 , 需 先 对 访问 控制 策略 的 内 部 逻辑 结构 进行 分 析 。 
4.4.1 访问 控制 策略 描述 


l. 访问 控制 策略 的 内 部 结构 

访问 控制 策略 由 若干 条 规则 组 成 .也 可 以 称 为 子 策 略 。 本 章 中 用 C 表示 信任 凭证 ， 
Policy 表示 访问 控制 策略 。 

定义 4.1 规则 (rule) : 规则 描述 了 对 一 个 凭证 集合 的 约束 ,其 中 包括 对 每 个 凭证 属性 
信息 的 约束 。 一 条 规则 可 以 作用 于 一 个 或 者 多 个 凭证 对 象 。 

为 了 表述 方便 作出 如 下 定义 : 

Policy(R, TG, rules); 代表 一 条 访问 控制 策略 ,Policy 代表 策略 名 称 ;R 代表 访问 控制 
策略 保护 的 资源 ,R 可 以 是 资源 或 服务 、 信 任凭 证 以 及 访问 控制 策略 ;TG 为 本 策略 所 适用 
的 用 户 信任 等 级 ,是 一 个 信任 等 级 范围 ;rules 代表 若干 条 规则 ,这 些 子规 则 之 间 可 以 是 

rules(ruleo , rule; , ++, rule, ): rule; , rule; s ++. rule, 之 间 的 逻辑 关系 用 人 或 V 符号 连 
接 , 表 示 “ 与 ”"“ 或 "的 逻辑 关系 。 为 了 简化 算法 ,将 逻辑 “与 "关系 的 子规 则 放 到 rules 的 前 
面 ,包含 复杂 关系 的 规则 放 到 rules 的 后 面 。 例 如 

rule, À rule, A (rule, V rule;) 

ruleCConstraint C, Ci .*C,)) : 表示 一 条 规则 ,此 条 规则 包含 对 信任 凭证 Co Ci ,…， 
C, 的 描述 。 信 任凭 证 Co Ci n C, 存在 两 种 组 合 关系 ,一 种 是 此 凭证 集合 组 成 一 条 凭证 
链 , 一 种 是 此 凭证 集合 之 间 存 在 “与 "" 或 "逻辑 关系 。 

定义 4.2 链 规则 (chain-rule) : 一 条 规则 中 描述 了 对 一 个 凭证 集合 的 约束 ,如 果 这 个 
凭证 集合 中 的 凭证 形成 了 若干 个 凭证 链 , 那 么 称 这 条 规则 为 链 规则 。 凭 证 链 的 建立 是 通过 
A 给 BB 颁发 证 书 ,而 B 又 以 此 证 书 为 签名 给 C 颁发 证 书 , 这 样 就 形成 了 凭证 链 。 

例如 ,Policyo CR; ,TG ,rule,) 是 一 条 访问 控制 策略 的 表达 式 。 访 问 控 制 策略 的 名 称 是 
Policy, ,策略 是 对 资源 Ro 定义 的 访问 控制 策略 。 

rule, (Constraint (C; -C; -C5)) : rule, 表示 规则 的 名 称 , 此 条 规则 定义 了 对 信任 凭证 Ci. 
C; 和 Cs 的 约束 ,并 且 CC M C 形成 了 一 条 信任 凭证 链 。 称 这 条 访问 控制 策略 为 链 
策略 。 

定义 4.3 混合 规则 (mixing-rule): 如 果 一 条 规则 中 描述 的 凭证 集合 既 包 含 独立 的 凭 
证 又 包含 凭证 链 ,那么 称 这 条 规则 为 混合 规则 。 

例如 ,Policy CR; , TG. rule, V rules) 是 一 条 访问 控制 策略 的 表达 式 。 访 问 控制 策略 的 
名 称 是 Policy: ,策略 是 对 资源 Ri 定义 的 访问 控制 策略 。 

rule, CConstraint( C; -C; -Cs )) : rule, 表示 子规 则 的 名 称 , 此 条 规则 定义 了 对 信任 凭证 
Ci C: 和 Cs 的 约 东 ,并 且 CC 和 Cs 形成 了 一 条 信任 凭证 链 。 

rules CConstraint (C, ,Cs ,Cs )): rule, 表示 规则 的 名 称 ,此 条 规则 定义 了 对 信任 凭证 
C, ,C; 和 Cs 的 约束 ,并 且 C, .Cs 和 Cs 之 间 是 逻辑 “与 ”"“ 或 ”的 关系 ,但 不 构成 信任 凭证 链 。 

称 这 条 访问 控制 策略 为 混合 策略 。 

2. 访问 控制 策略 树 

通过 对 访问 控制 策略 内 部 结构 的 研究 ,我 们 将 访问 控制 策略 构造 成 信任 凭证 有 向 树 。 
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通过 对 访问 控制 策略 树 的 构造 ,遍历 与 标记 过 程 , 可 以 找 出 满足 访问 控制 策略 的 所 有 信任 赁 


证 集合 以 及 最 小 代价 信任 凭证 集合 。 在 验证 信任 凭证 集合 是 否 

满足 访问 控制 策略 的 过 程 中 ,本 节 给 出 了 一 致 性 校 验 失败 信息 

反馈 的 方法 。 T 
根据 上 一 节 对 访问 控制 策略 的 描述 ,我 们 通过 对 例 4. 1 的 Re: 

分 析 来 介绍 访问 控制 策略 树 的 构造 过 程 。 为 了 简化 访问 控制 策 O 

略 树 ER ER EAA SE WE A GETE 6 0 A e A R A E UT De d i 


策略 的 前 端 ,多 个 凭证 的 合 取 析 取 则 放 至 访问 控制 策略 的 后 端 。 
例 4. 1 的 访问 控制 策略 树 如 图 4. 10 所 示 。 © (9) (9) 
f| 4.1 Policy; CR; . TG. rule, A rule, A rule.) 是 一 条 访问 控制 


策略 的 表达 式 。 访 问 控制 策略 的 名 称 是 Policy ,是 对 资源 R 定义 (e) (e) 
的 访问 控制 策略 。TG 的 访问 控制 策略 范围 是 , 5>TG>2. pe et 


rule, CConstraintCC; -C; -Cs )) : rule, 表示 规则 的 名 称 , 此 条 
规则 定义 了 对 信任 凭证 Ci, C: 和 Cs 的 约束 ,并 且 C. C; 和 Cs 形成 了 一 条 信任 凭证 链 。 

rule, CConstraint (C; ) ) : rule, 表示 规则 的 名 称 ,此 条 规则 定义 了 对 信任 凭证 C. 的 约 
W .Constraint(C; ) =C; 

rule. (Constraint (Cs ,Ce C; ,Cs ,Cs ) : rule, 表示 规则 的 名 称 , 此 条 规则 定义 了 对 信任 赁 
证 Cs „Ce „Cr „Cs 和 Cs 的 约 东 ,并且 Cs „Ce .Cr Cs 和 Cs 之 间 是 逻辑 “与 "`“ 或 ”的 关系 ,但 不 
构成 信任 凭证 链 。Constraint(Cs ,Ci C; C +C) =C; V (Cs AC) V (GAG). 

由 以 上 描述 可 知 此 访问 控制 策略 是 一 条 混合 策略 。 

这 里 规定 ,在 以 上 的 规则 之 间 以 及 凭证 之 间 不 允许 定义 如 ((C。V Ci) A (Cs V CX FE 
的 关系 ,而 应 将 此 种 关系 转化 为 (Co 和 Cs)V( Co 和 AC3)V( C1ACs)V( CACs) 表 示 。 即 在 
构造 访问 控制 策略 树 之 前 ,将 前 者 转化 为 后 者 的 表示 方式 。 

定义 访问 控制 策略 树 的 根 节 点 为 资源 节点 ,表示 访问 控制 策略 保护 的 资源 。 将 与 资源 
直接 相关 的 单个 凭证 和 凭证 链 的 合 取 节 点 直接 作为 父 节点 的 唯一 孩子 节点 依次 连接 到 树 的 
节点 上 。 对 于 析 取 关系 的 节点 并 列 作为 父 节 点 的 孩子 节点 连接 到 访问 控制 策略 树 上 。 对 于 
每 条 规则 进行 以 上 操作 ,按照 约定 将 合 取 节 点 写 在 析 取 节点 的 前 面 ,所 以 每 次 操作 都 会 先 将 
路 径 中 必需 的 凭证 作为 父 节点 的 孩子 节点 连接 到 访问 控制 策略 树 上 。 在 访问 控制 策略 树 中 
用 顺序 孩子 节点 表示 合 取 关 系 , 用 父 节点 的 多 个 孩子 节点 表示 析 取 关系 。 


4.4.2 一 致 性 校 验算 法 


根据 访问 控制 策略 树 的 构造 过 程 可 知 , 访 问 控制 策略 中 根 节点 的 孩子 节点 ,以 及 孩子 节 
点 中 的 唯一 孩子 节点 是 访问 控制 策略 中 定义 的 必要 信任 凭证 或 凭证 链 。 在 合 取 节点 内 部 用 
同样 的 方法 构造 访问 控制 策略 。 由 以 上 分 析 可 知 ,访问 控制 策略 树 中 每 条 从 根 节点 到 叶子 
节点 的 路 径 都 是 一 个 能 够 解锁 资源 的 信任 凭证 集合 。 

l. 访问 控制 策略 树 的 标记 

对 访问 控制 策略 树 的 标记 ,按照 深度 优先 的 算法 从 根 节点 进行 遍历 。 每 个 节点 有 这 样 
的 存储 结构 :《〈 父 节点 ,到 根 节点 的 距离 ,凭证 敏感 度 ,综合 敏感 度 ) 。 假 设 赁 证 受 访问 控制 
策略 保护 , 即 敏 感度 为 1 ,否则 敏感 度 为 0。 


信任 管理 与 网 络 安全 


(1) 如 果 根 结 点 只 有 一 个 孩子 节点 ,那么 检索 本 地 凭证 集合 中 是 否 存在 此 孩子 节点 ,并 
标记 孩子 节点 的 父 节 点 ,到 根 节点 的 距离 等 于 1, 标记 此 和 凭证 敏感 度 和 综合 敏感 度 。 如 果 本 
地 信任 凭证 集合 中 不 存在 此 节点 的 凭证 ,那么 访问 控制 策略 树 标 记 结 束 ,不 存在 满足 访问 控 
制 策略 的 信任 凭证 集合 。 

(2) 如 果 根 节点 有 多 个 孩子 节点 ,那么 按照 深度 优先 的 方式 遍历 访问 控制 策略 树 ,标记 
孩子 节点 的 父 节点 、 到 根 节点 的 距离 等 于 1、 凭证 敏感 度 和 综合 敏感 度 。 如 果 本 地 的 信任 凭 
证 中 不 存在 此 节点 的 凭证 ,那么 终止 此 路 径 的 遍历 ,依次 回溯 ,直到 找到 某 节 点 存在 右 相 邻 
的 兄弟 节点 ,标记 以 此 节点 的 右 侧 兄弟 节点 为 根 节点 的 子 树 。 如 果 不 存在 右 相 邻 的 兄弟 节 
点 , 则 标记 算法 结束 。 

(3) 如 果 根 节点 的 孩子 节点 为 信任 凭证 链 , 那 么 检索 信任 凭证 库 中 是 否 存在 所 有 信任 
凭证 ,标记 该 信任 凭证 链 的 父 节点 、 到 根 节点 的 距离 和 综合 敏感 度 。 如 果 信 任凭 证 不 存在 ， 
那么 回溯 ,直到 找到 一 个 节点 中 存在 右 相 邻 的 兄弟 节点 ,对 以 此 右 相 邻 的 兄弟 节点 为 根 结 点 
的 子 树 进行 标记 。 如 果 不 存在 这 样 的 节点 , 则 标记 结束 。 

CD 对 根 节点 的 孩子 节点 进行 相同 的 操作 ,如 果 此 节点 只 有 一 个 孩子 节点 ,那么 标记 孩 
子 节点 的 父 节点 、 到 根 节点 的 距离 ( 即 父 节点 到 根 节点 的 距离 加 1) 和 信任 凭证 敏感 度 , 并 标 
记 综 合 敏感 度 为 父 节点 的 敏感 度 加 上 此 节点 的 敏感 度 。 如 果 本 地 的 信任 凭证 中 不 存在 此 节 
点 的 凭证 ,那么 终止 此 路 径 的 遍历 ,依次 回溯 ,直到 节点 的 父 节 点 存在 多 个 孩子 节点 ,并且 仍 
有 右 侧 相 邻 的 兄弟 节点 ,对 此 右 侧 相 邻 的 兄弟 节点 进行 深度 优先 标记 ,和 否则 标记 算法 结束 。 

(5) 如 果 正 在 遍历 的 节点 为 叶子 节点 ,那么 标记 本 节点 的 父 节点 、 到 根 节点 的 距离 、 凭 
证 敏感 度 和 综合 敏感 度 等 ,并 记录 本 节点 的 信息 。 到 此 找到 了 一 个 信任 凭证 的 暴露 集合 。 

(6) 对 访问 控制 策略 树 进行 以 上 的 标记 过 程 ,直到 整个 遍历 过 程 结 束 。 如 果 遍 历 到 的 
叶子 节点 集合 不 为 空 ,那么 叶子 节点 的 个 数 即 为 满足 访问 控制 策略 的 集合 数 。 比 较 叶 子 节 
点 中 的 综合 敏感 度 , 选 择 综合 敏感 度 最 小 的 叶子 节点 或 叶子 节点 集合 。 如 果 存 在 多 个 综合 
敏感 度 最 小 的 叶子 节点 ,那么 找 出 综合 敏感 度 最 小 的 叶子 节点 中 到 根 节点 距离 最 小 的 叶子 

根据 例 4. 1 给 出 访问 控制 策略 树 的 标记 过 程 如 下 : 

COD 首先 判断 根 节点 的 孩子 节点 ,得 根 节点 的 唯一 孩子 节点 为 信任 凭证 链 C1-C;-C;， 
检索 是 否 包含 信任 凭证 。 假 设 本 地 包含 此 信任 度 凭证 链 , 且 此 信任 凭证 链 不 存在 敏感 度 凭 
证 ,那么 标记 节点 (C1-C;-Cs) 的 信息 : 父 节点 、 到 根 节点 的 距离 、 凭 证 敏感 度 和 综合 敏感 度 
NÀNG .1.,0,0). 

(2) 标记 (Ci -Ca -Ca ) 的 孩子 节点 C,。 假 设 本 地 包含 信任 凭证 C, « H. C. 为 敏感 度 任 证 ,C， 
到 根 节点 的 距离 为 2, 凭证 敏感 度 为 1, 综 合 凭证 敏感 度 为 1。 标记 为 CG,((G -Cs-C3),2,1,1)。 

(3) 按照 深度 优先 的 顺序 标记 Cs 的 孩子 节点 。 首 先 标记 第 一 个 孩子 节点 Cs ,假设 本 
地 包含 信任 凭证 Cs H Cs 为 敏感 度 凭证。Cs 到 根 节点 的 距离 为 3, 凭 证 敏感 度 为 1 ,综合 赁 
证 敏感 度 为 2。 标记 为 Cs (Cs ,3,1,2) 。 

(4) Cs 为 叶子 节点 ,此 条 路 径 遍 历 结束 ,回溯 遍历 Cs 的 兄弟 节点 Cs 。 假 设 本 地 包含 信 
任凭 证 Ce H C; 为 敏感 度 赁 证。 标记 为 Cs (Cs 3.1.2). 

(5) 假设 存在 C; Cs 和 Cs, 且 其 敏感 度 分 别 为 1.0 和 1, 则 标记 为 CCCe,4,1,3)， 
CCm OV ol. Ry 
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根据 上 面 的 分 析 得 到 图 4. 11, 从 图 4. 11 中 可 以 看 出 存在 
3 个 信任 凭证 集合 可 以 满足 访问 控制 策略 .分别 是 (Ci-C:- 
人 
根据 叶子 节点 的 综合 敏感 度 可 知 (Ci-Cs-C3,C,Cs) 和 (Ci- 
Cz-Cs ,Cu Cs ,Cs ) 为 综合 敏感 度 最 小 的 信任 凭证 集合 。 根 据 
叶子 节点 与 根 节点 的 距离 可 知 (Ci-Cs-Cs,C,C;) 披 露 的 凭 
证 最 少 ,所 以 选择 披露 信任 凭证 集合 (CG -C;-Cs C. C. 

2. 信任 协商 失败 信息 反馈 

通过 信任 凭证 的 验证 过 程 ,可 以 给 出 验证 失败 的 信息 。 
一 致 性 校 验算 法 的 一 个 主要 功能 就 是 验证 一 个 信任 凭证 集合 
是 否 满足 访问 控制 策略 ,返回 结果 并 给 出 有 助 于 进一步 协商 
的 信息 。 图 4.11 访问 控制 策略 标记 树 

假设 在 例 4. 1 中 A 与 B 进行 信任 协商 , 且 B 将 以 上 访问 
控制 策略 发 送 给 A, 根 据 以 上 的 算法 找 出 了 本 地 满足 访问 控制 策略 的 集合 ,经 过 若干 次 访问 
控制 策略 与 信任 凭证 的 交互 暴露 过 程 ,A 将 综合 敏感 度 最 小 数量 最 小 的 访问 控制 策略 集 
合 (C1-Cs-Cs ,CCs ) 发 送 给 B。 然 后 B 的 协商 模块 将 会 把 A 的 请 求 消息 、A 发 送 的 信任 赁 
证 集合 以 及 B 的 访问 控制 策略 交 给 一 致 性 校 验 器 。 一 致 性 校 验 器 对 其 进行 验证 。 

(1) 首先 根据 访问 控制 策略 树 的 根 节点 与 A 的 请 求 消息 判断 此 访问 控制 策略 是 否 对 本 
请 求 进行 保护 。 如 果 是 , 则 对 访问 控制 策略 树 进行 广度 优先 遍历 。 

(2) 将 A 的 信任 凭证 集合 进行 验证 ,验证 信任 凭证 的 有 效 性 。 验 证 证 书 是 否 过 期 .是 否 
注销 等 ,如 果 信 任凭 证 均 有 效 则 转 到 (3) ,和 否则 抛弃 无 效 赁 证 ,信任 协商 失败 信息 置 为 存在 无 
效 任 证 , 转 到 (3) 。 

(3) 如 果 访 问 控制 策略 树 的 根 节点 有 唯一 孩子 节点 ,那么 用 A 的 信任 凭证 匹配 此 节点 
的 信任 凭证 ,查看 是 否 存在 此 节点 的 信任 凭证 ,是 否 满足 策略 定义 的 属性 条 件 。 如 果 满 足 则 
继续 验证 此 节点 的 孩子 节点 。 和 否则 验证 失败 ,信任 协商 失败 信息 置 为 缺少 必要 凭证 。 

(4) 如 果 访 问 控制 策略 树 的 根 节点 有 多 个 孩子 节点 ,那么 依次 从 左 向 右 验 证 根 节点 的 
孩子 节点 ,如 果 存 在 信任 凭证 满足 某 个 孩子 节点 的 约束 ,对 此 节点 进行 广度 优先 遍历 。 如 果 
对 此 节点 的 广度 优先 遍历 并 未 找到 满足 约束 条 件 的 路 径 ,那么 返回 遍历 根 节点 的 其 余 孩 子 
节点 。 如 果 不 存 在 满足 根 节点 的 信任 凭证 满足 某 孩 子 节点 的 约束 ,那么 验证 过 程 结束 。 信 
任 协 商 失 败 信 息 置 为 缺少 必要 凭证 。 

(5) 如 果 访 问 控制 策略 树 中 根 节 点 的 孩子 节点 是 一 个 链 节点 ,那么 对 此 节点 的 约束 的 
信任 凭证 链 进行 验证 。 首 先 检 索 是 否 存在 此 链接 点 的 根 凭证 ,如 果 存 在 并 且 满 足 约束 ,那么 
检索 凭证 链 中 的 下 一 个 凭证 。 依 次 进行 检索 匹配 ,如 果 信 任凭 证 链 中 的 所 有 凭证 均 存在 , 那 
么 构造 此 凭证 链 。 如 果 某 个 信任 凭证 不 存在 ,那么 此 节点 验证 失败 。 信 任 协 商 失败 信息 置 
为 信任 凭证 链 构造 失败 。 

(6) 对 根 节点 的 孩子 节点 进行 (3)、(4)、(5) 的 操作 。 

(7) 如 果 找 到 一 个 节点 为 叶子 节点 , 且 存 在 满足 此 叶子 节点 的 信任 凭证 ,那么 遍历 结 
东 , 验 证 成 功 。 一 致 性 校 验 器 将 结果 反馈 到 协商 模块 .允许 访问 请 求 的 资源 。 


(C64,1,3) (Cs,4,1,2) 
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4.4.3 完备 性 分 析 


一 致 性 校 验 器 是 信任 协商 的 核心 部 件 , 应 该 具有 完备 性 。 即 对 于 一 个 以 某 条 访问 控制 
策略 、 信 任凭 证 集合 和 请 求 为 输入 的 一 致 性 校 验 过 程 来 说 : 

CD 如 果 此 信任 凭证 能 够 满足 访问 控制 策略 ,并 且 信 任凭 证 均 有 效 ,那么 一 致 性 校 验 器 
验证 结果 一 定 为 真 ;反之 ,如 果 一 致 性 校 验 结果 为 真 .那么 这 个 信任 凭证 集合 一 定 能 够 满足 
这 个 访问 控制 策略 。 

(2) 如 果 此 信任 凭证 不 能 够 满足 此 访问 控制 策略 ,那么 一 致 性 校 验 结果 一 定 为 假 ; 反 
之 ,如 果 一 致 性 校 验 结果 为 假 ,那么 此 信任 凭证 集合 一 定 不 能 满足 此 访问 控制 策略 。 

访问 控制 策略 树 的 构造 过 程 就 是 寻找 信任 凭证 集合 的 过 程 ,每 个 从 根 节 点 到 叶子 节点 
的 所 有 信任 凭证 集合 都 是 一 个 满足 访问 控制 策略 的 信任 凭证 集合 。 通 过 对 访问 控制 策略 树 
的 遍历 匹配 过 程 , 如 果 存 在 一 个 信任 凭证 集合 满足 这 个 访问 控制 策略 ,那么 一 定 能 够 匹配 到 
一 个 叶子 节点 找到 这 样 的 路 径 。 

证 明 : 对 于 访问 控制 策略 Policy(R,TG,Ci A C; A Cs), 根据 访问 控制 策略 树 的 构造 方 
法 ,将 “与 ?关系 的 信任 凭证 作为 当前 节点 的 唯一 孩子 节点 添加 到 访问 控制 策略 树 中 。 将 
Ci Cs Cs 作为 R 节 点 的 唯一 孩子 结 点 依次 添加 到 访问 控制 策略 树 中 , 即 C. 作为 R 的 唯一 
孩子 节点 ,Cs 作为 Ci 的 唯一 孩子 节点 ,Cs 作为 Co 的 唯一 孩子 节点 添加 到 访问 控制 策略 
树 中 。 

访问 控制 策略 树 构造 如 图 4. 12 所 示 。 

通过 对 根 节 点 的 深度 优先 遍历 , 必 经 过 结 点 Ci C 和 C ,如 果 本 地 存在 信任 凭证 Ci. 
C; 和 Cs ,一 致 性 校 验算 法 一 定 可 以 遍历 到 叶子 节点 Cs ,找到 路 径 (R-C1-Cs-C;) 能 够 满足 此 
访问 控制 策略 。 

对 于 访问 控制 策略 PolicyCGR,TG,.CV C; V C) ,根据 访问 控制 策略 树 的 构造 方法 ,将 
“或 ?关系 的 信任 凭证 作为 当前 节点 的 孩子 节点 并 列 添加 到 访问 控制 策略 树 中 , 即 Cl、C。 和 
Cs 作为 R 节 点 并 列 的 子 节点 。 

访问 控制 策略 树 构造 如 图 4.13 所 示 。 


4.12 “与 关系 访问 控制 策略 树 图 4. 13 “或 "关系 访问 控制 策略 树 
通过 根 节点 的 深度 优先 遍历 算法 ,如 果 本 地 存在 C. .C; 和 Cs 中 的 任何 一 个 信任 凭证 ， 


一 致 性 校 验 算法 一 定 可 以 遍历 到 某 一 叶子 节点 。 找 到 一 条 或 多 条 路 径 (RC, ) 满 足 此 访问 
控制 策略 。 
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对 于 访问 控制 策略 Policy CR. TG, C V CC A Cs)) 根 据 访问 控制 策略 的 构造 方法 ,将 


“或 ?关系 节点 作为 当前 节点 的 并 列 孩 子 节点 添加 到 访问 控制 策略 
树 中 ,将 “与 ”关系 节点 作为 当前 节点 的 唯一 孩子 节点 添加 到 访问 Q) 

控制 策略 树 中 。C 作为 R 的 第 一 个 孩子 节点 ,Cs 作为 R 的 第 二 个 

孩子 节点 ,Cs 作为 Cs 的 唯一 孩子 节点 。 (e) (e) 


中 的 任何 一 组 信任 赁 证 集合 ,一 致 性 校 验算 法 一 定 可 以 遍历 到 某 


访问 控制 策略 树 构造 如 图 4. 14 所 示 。 
通过 根 节点 的 深度 优先 遍历 算法 ,如 果 本 地 存在 C 或 C. LC. (€) 


4.14 混合 关系 访问 


一 叶子 节点 。 找 到 一 条 或 多 条 路 径 (RC,) 或 CR-C:-C; ) 满 足 此 访 Si N 
问 控制 策略 。 


4.5 本 章 小 结 


自动 信任 协商 为 所 有 基于 开放 分布. 动态 特性 环境 的 安全 和 信任 问题 提供 了 新 的 解决 


方法 。 本 章 提出 了 一 种 能 根据 协商 方 信任 度 的 计算 结果 动态 调整 访问 控制 策略 和 协商 策略 
的 自 适 应 自动 信任 协商 (AATN) 模 型 。 该 模型 能 提供 一 种 灵活 高 效 的 安全 信任 协商 机 制 ， 
对 于 信任 度 高 的 协商 方 可 提供 快速 响应 的 策略 ,而 对 于 信任 度 低 的 协商 方 则 提供 更 为 谨慎 
安全 的 策略 。 本 章 阐述 了 该 模型 框架 和 工作 流程 ,重点 讨论 了 自 适 应 策略 模式 和 一 致 性 检 
验 器 等 关键 技术 。 另 外 ,通过 实验 分 析 , 论 证 了 AATN 所 采用 的 自 适应 策略 模式 在 兼顾 效 


率 和 安全 两 方面 需求 的 有 效 性 。 
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基于 第 4 章 提出 的 自 适应 自动 信任 协商 模型 ,本 章 主要 讨论 如 何 设计 和 实现 一 个 自 适 
应 信任 协商 系统 。 


5.1 系统 总 体 设计 


自 适应 信任 协商 系统 的 主要 内 容 包 括 证 书 管理 器 、 策 略 管理 器 、 协 商 决策 模块 ,信任 度 
评估 模块 和 一 致 性 校 验 器 等 ,是 对 自动 信任 协商 系统 的 改进 。 证 书 管理 器 主要 负责 管理 加 
载 证 书 和 声明 ;策略 管理 器 主要 负责 管理 访问 控制 策略 ;信任 度 评估 模块 主要 对 用 户 的 可 信 
度 做 出 评价 ,并 提供 可 验证 的 功能 ;一 致 性 校 验 器 接收 决策 模块 的 请 求 , 判 断 赁 证 集合 是 否 
满足 访问 控制 策略 ;证 书 链 处 理 模块 验证 赁 证 集合 是 否 构成 信任 凭证 链 ; 协 商 决 策 模块 调用 
其 他 各 个 模块 以 获得 协商 过 程 中 需要 的 中 间 结 果 , 负 责 整个 信任 协商 过 程 的 协调 。 该 系统 
的 模块 图 如 图 5. 1 所 示 。 


策略 管理 器 
5 一 致 性 检测 器 
Grauwe) [me 
策略 库 us 结 i 
uda 
证 书 管理 器 标记 的 证 书证 书 链 处 理 模块 
响应 请 求 
信任 度 评估 
模块 
证 书 声明 


5.1 信任 协商 系统 模块 图 


5.2 系统 模块 设计 


5.2.1 主 策略 模块 

当 一 个 远程 消息 被 可 视 化 模块 处 理 后 , 它 将 被 传递 到 主 策略 模块 。 这 个 模块 可 以 被 称 
作 一 个 协调 者 。 对 于 一 个 信任 协商 会 话 , 它 将 收 到 的 消息 交 给 合适 的 策略 模块 进行 处 理 。 
当主 策略 模块 收 到 一 个 远程 消息 ,并 且 可 以 获取 协商 状态 , 主 策略 模块 生成 向 远程 协商 方 反 


下 
第 5 章 自 透 应 信任 壤 商 系统 设计 


馈 消息 的 内 容 。 主 协商 模块 可 以 无 限 次 地 调用 一 致 性 校 验 模块 、 证 书 链 处 理 模 块 以 及 策略 
管理 器 ,证 书 管理 器 。 
主 策略 模块 ( 见 图 5. 2) 主要 提供 如 下 方法 。 
NextstepO : 该 方法 的 参数 为 协商 消息 ,返回 类 型 也 为 协商 消息 *configure() : bool 
类 型 。 该 方法 的 功能 是 处 理 接收 到 的 消息 ,并 返回 反馈 给 对 方 的 消 |+nextStep0 
息 , 同 时 需要 获取 会 话 ID 以 及 状态 信息 。 人 
processPolicy O ; 该 方法 的 功能 是 查看 访问 控制 策略 是 否 能 够 被 +processCredential() 
满足 ,如 果 存 在 这 样 的 信任 凭证 集合 ,那么 查看 这 些 凭证 是 否 可 以 被 图 5.2 主 策略 模块 
披露 。 如 果 有 凭证 受 保护 ,那么 查找 对 应 的 访问 控制 策略 。 
processCredential O ; 该 方法 的 功能 是 查看 凭证 集合 中 的 凭证 是 否 被 保护 。 如 果 不 受 
保护 ,将 其 添加 到 反馈 消息 中 ;如 果 被 保护 , 则 查看 访问 控制 策略 是 否 已 经 被 满足 。 如 果 满 
足 凭 证 可 以 被 披露 ,将 其 添加 到 反馈 消息 中 。 


5.2.2 检索 引擎 


检索 引擎 主要 负责 检索 证 书 和 策略 。 此 模块 接受 其 他 模块 的 请 求 ,处 理 这 些 请 求 ,反馈 
检索 的 结果 。 

由 于 检索 引擎 主要 提供 两 种 类 型 的 检索 : 证 书 检索 和 策略 检索 ,所 以 在 模块 中 设计 了 父 
类 Query 以 及 它 的 两 个 子 类 ProfileManager 和 PolicyManager, 实 现 了 父 类 的 processQuery 
方法 ,如 图 5.3 所 示 。 这 两 个 子 类 还 实现 了 管理 凭证 和 策略 的 功能 ,在 后 面 的 模块 对 此 作 
介绍 。 


StrategyMediator 


—configured : bool 


PolicyManager 
—loaderDirectory 
—policies 
—properties 
*PolicyManager() 
*getPolicyCount() : int 
+processQuery() Query 
n —QueryResult 
*processQuery() 
ProfileManager *getQueryType() 
—loaderDirectory 
—credentials 
—properties l 


+ProfileManager() 
+getCredentialCount() : int 
+processQuery() 


图 5.3 检索 引擎 


QueryResult 将 检索 到 的 证 书 集合 或 者 策略 集合 以 数组 的 方式 返回 。 

检索 引擎 提供 的 方法 如 下 。 

processQuery() : 该 方法 的 主要 功能 是 获取 检索 类 型 ,根据 检索 类 型 调用 相应 的 类 处 
getQueryTypeO : 该 方法 的 主要 功能 是 返回 检索 的 类 型 。 
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5.2.3 策略 管理 器 


策略 管理 器 负责 加 载 用 户 硬 盘 上 的 策略 文件 ,并 且 保证 主 策略 模块 可 以 通过 检索 引擎 
访问 这 些 策 略 ( 见 图 5. 4) 。 此 组 件 可 以 通过 用 户 设置 的 策略 文件 目录 来 加 载 策略 。 

策略 管理 器 提供 如 下 方法 。 

getPolicyCount() : 该 方法 返回 加 载 策 略 的 数目 。 

processQueryO : 该 方法 的 参数 是 检索 请 求 ,返回 检索 结果 。 根 据 请 求 类 型 ,该 方法 可 
以 实现 检索 所 有 的 策略 ,也 可 以 根据 策略 的 ID 检索 策略 。 


5.2.4 证 书 管理 器 
证 书 管理 器 负责 加 载 证 书 和 声明 ,配置 文件 中 同样 需要 指定 证 书 存放 的 目录 ( 见 图 5. 5)。 


PolicyManager 


ProfileManager 


—loaderDirectory 
—policies 
—properties 


*PolicyManager() 
*getPolicyCount() : int 
-*processQuery() 


—loaderDirectory 
—credentials 
—properties 


*ProfileManager() 
*getCredentialCount() : int 
*processQuery() 


图 5.4 策略 管理 器 


图 5.5 证 书 管理 器 


该 管理 器 提供 如 下 方法 。 

getCredentialCount() : 该 方法 返回 当前 加 载 凭证 的 数目 。 

processQuery(); 该 方法 的 参数 是 检索 请 求 , 返 回 检索 结果 。 根 据 请 求 类 型 ,该 方法 可 
以 实现 检索 所 有 的 证 书 , 也 可 以 检索 声明 。 


5.2.5 一 致 性 校 验 器 模块 


一 致 性 校 验 器 是 自动 信任 协商 系统 的 一 个 重要 组 成 部 分 , 它 的 主要 功能 是 判断 给 定 的 
信任 凭证 集合 是 否 能 够 满足 针对 特定 资源 定义 的 访问 控制 策略 
( 见 图 5.6) 。 一 至 性 校 验 顺 首先 验证 信任 凭证 的 有 效 性 ,进行 匹 | 
配 时 过 滤 掉 无 效 的 证 书 。 eliey 

一 致 性 校 验 器 提供 了 makeDecision( ) 方 法 ,该 方法 的 参数 [rins 
是 信任 凭证 集合 访问 控 制 策略 和 对 资源 的 访问 请 求 , 它 的 返回 [masspeeson0 
结果 是 判定 结果 和 引导 信息 。 一 致 性 校 验 器 将 判定 的 结果 反馈 图 5.6 一 致 性 校 验 器 模块 
到 协商 策略 模块 。 


5.2.6 ”可视化 模块 


可 视 化 模块 的 主要 功能 是 将 收 到 的 远程 消息 以 及 发 送 的 消息 以 固定 的 格式 显示 到 窗口 
( 见 图 5.7)。 它 的 输入 是 一 条 消息 以 及 消息 的 方向 。 它 分 析 消 息 的 内 容 , 并 将 具体 内 容 以 
固定 的 格式 显示 到 窗口 。 可 以 设置 窗口 为 显示 或 者 隐藏 。 

可 视 化 模块 提供 了 如 下 方法 。 


ComplianceChecker 


n 
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Message 


—session 
Visualization Module —status 
—policy 
—credential 
—continueFlag 


*buldGuQ | 一 > 
+setPolicy() 
+setCredential() 


+getSession() 
+getPolicy() 
+getCredential() 
+getStatus() 


5.7 可 视 化 模块 


buildGui O : 该 方法 设置 输出 窗口 的 样式 以 及 窗口 中 显示 的 消息 内 容 , 包 括 消息 方向 、 
协商 状态 .加载 消息 中 包括 的 凭证 或 者 策略 信息 。 

setPolicy O ; 该 方法 将 消息 中 的 策略 添加 到 窗口 。 

setCredentialO : 该 方法 将 消息 中 的 证 书 添加 到 窗口 。 

Message 对 象 以 固定 的 格式 封装 了 消息 的 内 容 。 双 方 之 间 传 递 的 消息 均 被 封装 到 
Message 中 。 主 策略 模块 返回 以 及 接收 的 消息 都 是 message 类 型 的 。 可 视 化 模块 的 输入 为 
message 类 型 ,通过 解析 Message 中 包含 的 信息 进行 显示 。 


5.2.7 信任 度 评 估 模 块 


信任 度 评估 模块 的 主要 功能 是 评估 用 户 的 信任 度 ,并 根据 用 户 的 信任 度 调整 协商 策略 
和 访问 控制 策略 ( 见 图 5. 8)。 信 任 度 评估 的 算法 已 经 在 前 面 作 了 
介绍 ,这 里 主要 介绍 信任 度 评估 模块 如 何 获取 用 户 的 信任 度 , 即 信 ”一 
任 度 模块 提供 的 调用 接口 。 Kk 

信任 度 评估 模块 通过 用 户 的 IP 获取 用 户 的 信任 度 trustValue. +getTrustValue() 

该 模块 提供 了 getTrustValue() 方 法 ; 该 方法 的 输入 是 一 个 ”vee0 
IP 地 址 ,函数 查找 信任 度数 据 库 ,返回 此 IP 地 址 对 应 的 信任 度 图 5.8 信任 度 评估 模块 
等 级 。 


5.2.8 外 部 接口 设计 


信任 协商 系统 为 外 部 程序 提供 了 一 个 外 部 调用 接口 ( 见 图 5.9)。 外 部 程序 只 需要 调用 
AATN 类 ,并 使 用 AATN 类 提供 的 一 些 方法 来 完成 信任 协商 的 功能 。 外 部 调用 程序 还 必 
须 为 本 类 提供 一 些 配置 信息 ,来 引导 信任 协商 会 话 过 程 。 信 任 
EN 协商 过 程 中 双方 传递 的 消息 被 封装 在 Message 内 , AATN 处 
configurations 理 信任 协商 中 对 方 发 送 过 来 的 消息 ,将 消息 进行 处 理 后 ,生成 


+negotiate() 


*prepareIncomingMessage() 反馈 的 消息 ,封装 为 Message 对 象 发 出 。 


TrustValueManager 


*prepareOutgoingMessage() 外 部 接口 提供 了 以 下 方法 。 

-*generateFailureM. 

ces Weide NegotiateO ; 该 方法 为 本 接口 提供 的 主要 信任 协商 方法 。 
P processInitMessageQ) 该 方法 接收 远程 方 的 消息 ,处 理 消息 中 包含 的 各 种 元 素 并 产生 


图 5.9 外 部 接口 一 个 响应 。 
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prepareIncomingMessage( : 该 方法 为 Negotiate 方法 提供 支持 ,Negotiate 通过 调用 该 
方法 处 理 收 到 的 协商 远程 方 消 息 。 在 本 方法 的 实现 中 需要 调用 信任 协商 系统 的 其 他 模块 。 

prepareOutgoingMessage() : 该 方法 为 Negotiate 方法 提供 支持 ,Negotiate 通过 调用 
该 方法 处 理发 送 到 协商 远程 方 的 消息 。 

generateFailureMessageO : 当 协 商 过 程 中 出 现 错误 时 ,该 方法 生成 消息 ,告知 协商 远 
程 方 终止 会 话 。 


5.3 AATN-Jess 策略 语言 


5.3.1 策略 语言 设计 需求 


策略 语言 用 来 描述 策略 ,因此 策略 语言 的 语义 是 否 清晰 ,描述 是 否 详尽 ,决定 了 策略 对 
于 信任 协商 系统 的 可 读 性 。 信 任 协 商 系统 对 策略 语言 的 要 求 主要 体现 在 以 下 诸 方面 5] 。 

CD 定义 良好 的 语义 。 一 个 定义 良好 的 策略 语言 应 该 具有 简单 .紧凑 和 定义 规范 的 语 
义 , 即 使 用 该 策略 语言 编写 的 策略 ,其 含义 与 该 语言 的 特殊 应 用 无 关 。 

(2) 单调 性 。 信 任 协商 对 策略 语言 的 单调 性 需求 表现 在 : 证 书 与 策略 的 披露 应 对 用 户 
的 授权 产生 影响 ;额外 证 书 /策略 的 披露 只 能 让 用 户 获得 额外 资源 /服务 操作 的 权限 。 

O 证 书 结合 。 不 同 证 书 描述 了 特定 主体 不 同 的 特征 。 信 任 协商 要 求 策 略语 言 具有 很 
强 的 表达 能 力 ,能 够 使 用 * 交 ”“ 并 ”等 操作 将 不 同 的 证 书 结合 起 来 ,以 满足 需要 提交 多 个 证 
书 的 策略 。 

CD 认证 。 信 任 协商 的 参与 方 均 有 多 个 证 书 , 以 便 通 过 证 书 交 换 来 建立 信任 关系 。 在 
系统 运行 过 程 中 ,证 书 提交 者 需 证 明 其 拥有 与 证 书签 名 使 用 的 公 钥 相 对 应 的 私 钥 信息 ,以 确 
保证 书 的 有 效 性 。 

(5) 属性 值 约束 。 通 常 一 个 证 书 就 是 一 个 结构 化 的 对 象 , 它 包含 关于 主体 属性 的 信息 ， 
name-value 就 是 属性 信息 的 典型 代表 。 证 书 可 关联 到 某 种 指定 的 证 书 类 型 ,用 来 简化 证 书 
规范 和 管理 。 

(6) 内 部 证 书 约束 。 为 了 更 好 地 评估 远程 参与 方 的 属性 ,即使 参与 方 使 用 了 不 同 的 密 
钥 , 策 略 也 应 该 可 以 表达 一 些 约束 ,用 来 比较 属于 同一 主体 的 不 同 证 书 的 值 。 

(7) 证 书 链 。 当 某 一 证 书 中 的 主体 是 证 书 链 中 下 一 证 书 的 发 布 者 时 ,策略 语言 应 提供 
足够 的 描述 能 力 来 表达 和 约束 证 书 链 。 

(D 传递 闭 包 。 在 特定 的 环境 中 ,信任 关系 具有 传递 性 。 这 要 求 策略 语言 允许 策略 编 
写 者 来 描述 信任 链 中 的 数量 和 类 型 约束 。 

(9) 外 部 函数 。 在 协商 过 程 中 ,需要 一 个 标准 的 函数 库 来 规范 对 诸如 日 期 ,时间 和 货币 
等 的 操作 和 比较 。 

(100 本 地 证 书 变量 。 当 处 理 资源 的 标准 离线 策略 时 ,本 地 证 书 变 量 可 使 这 些 策略 自动 
地 与 其 证 书 关联 起 来 ,提高 策略 与 证 书 的 匹配 效率 。 

AD 检测 提交 者 。 策 略 编写 者 可 以 指定 策略 中 哪些 原子 策略 应 该 由 访问 者 提交 的 哪 
些 证 书 来 满足 。 

(12) 敏感 策略 保护 。 敏 感 策略 里 可 能 包含 一 些 个 人 隐私 或 商业 机 密 。 策 略语 言 具有 
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敏感 信息 保护 机 制 ,以 避免 /防止 重要 信息 外 泄 。 

(13) 具有 互 操作 语言 的 统一 形式 和 使 用 :这 种 需求 强调 了 协商 方法 的 应 用 能 力 , 即 在 
设计 策略 语言 时 , 须 充分 考虑 其 是 否 可 以 在 真实 的 环境 中 使 用 ,以 及 是 否 可 以 集成 到 已 有 的 
EFF. 


5.3.2 AATN-Jess 语言 特点 


Jess(Java Expert System ShelDi& 2; $ 1995 年 由 美国 Sandia 国家 实验 室 分 布 式 系 
统计 算 组 成 员 Ernest J. Friedman-Hill 用 Java 实现 的 一 个 经 过 扩充 的 CLIPS 版 本 。 它 除 
了 继承 了 CLIPS 的 特点 外 ,还 具有 支持 正 向 和 逆向 推理 ,可 以 在 系统 运行 环境 下 直接 调用 
Java 的 类 库 等 特点 。 这 些 特点 将 专家 系统 的 开发 过 程 同 功能 强大 的 Java 语言 结合 起 来 ,使 
采用 Jess 语言 开发 的 专家 系统 具有 良好 的 移植 性 和 嵌入 性 ,可 以 方便 地 应 用 到 网 络 上 的 不 
同 机 器 中 。 另 外 ,Java 多 线程 机 制 使 Jess 可 以 与 其 他 应 用 程序 并 发 执行 ,同步 机 制 保 证 了 
对 共享 数据 的 正确 操作 ,通过 使 用 不 同 的 线程 完成 特定 的 行为 ,就 可 以 很 容易 地 实现 网 络 上 
的 实时 交互 行为 。 这 些 特点 都 符合 P2P 网 络 环境 下 信任 协商 系统 的 要 求 ,比较 适合 作为 
P2P 网 络 信任 协商 系统 中 的 安全 策略 语言 。 但 由 于 Jess 语言 是 为 专家 系统 设计 开发 的 ,其 
某 些 地 方 不 符合 信任 协商 安全 策略 语言 的 要 求 。 因 此 本 节 在 Jess 基础 上 设计 了 AATN- 
Jess 语言 ,对 原 有 Jess 语言 进行 了 简化 与 提升 ,使 其 更 加 符合 自 适应 信任 协商 系统 的 要 求 ， 
增强 了 协商 的 效率 。 

AATN-Jess 在 保留 了 Jess 语言 的 环境 友好 ,方便 用 户 编写 策略 等 特点 的 同时 ,对 Jess 
的 语法 结构 进行 了 修改 ,取消 了 Jess 语法 结构 中 需要 将 证 书 中 涉及 的 内 容 封装 为 若干 对 象 
的 要 求 ,使 得 AATN-Jess 语法 更 容易 理解 ,同时 也 提高 了 信任 协商 系统 对 策略 语言 的 解析 
效率 。AATN-Jess 相对 于 其 他 安全 策略 语言 具有 如 下 特点 : 

CD 具有 良好 的 系统 兼容 性 。AATN-Jess 是 在 Jess 的 基础 上 进行 简化 和 提高 的 ,其 也 
是 用 Java 语言 进行 开发 的 。Java 语言 具有 路 平台 特性 ,这 样 有 利于 AATN-Jess 应 用 于 不 
同 的 系统 ,这 一 特性 也 符合 P2P 网 络 的 要 求 。 同 时 在 设计 过 程 中 将 代码 封装 为 不 同 的 类 ， 
便于 开发 过 程 中 的 调用 ,也 有 助 于 日 后 根据 自身 需要 进行 修改 。 

(2) 简洁 的 语法 结构 及 较 高 的 协商 效率 。AATN-Jess 支持 面向 过 程 的 编程 方式 , 它 提 
供 了 一 些 语 句 来 控制 规则 后 件 的 操作 流程 ,如 使 用 if…then…else 和 while…do 语句 ,这 样 
它 就 能 很 有 效 地 利用 面向 过 程 编程 的 优势 。AATN-Jess 的 这 些 特 性 使 系统 拥有 很 强 的 知 
识 表示 能 力 。 同 时 AATN-Jess 去 掉 了 Jess 在 编写 过 程 中 封装 对 象 的 要 求 , 简 化 了 语法 结 
构 , 也 有 助 于 提高 协商 效率 。 

G) 完善 .友好 的 开发 环境 。AATN-Jess 提供 了 两 个 交互 式 的 、 命 令 行 的 开发 环境 ,但 
也 可 以 使 用 文本 编辑 器 编辑 代码 ,然后 再 通过 系统 命令 以 批 处 理 的 方式 载 人 到 系统 中 。 这 
样 使 用 户 更 容易 上 手 ,不 需要 了 解 Java 知识 就 可 以 编写 自身 所 拥有 的 敏感 资源 和 敏感 证 书 
的 保护 策略 。 


5.3.3 AATN-Jess 语法 结构 


AATN-Jess 语言 包含 9 个 语言 要 素 , 即 Template( 模 板 )、Rule( 规 则 )、LHand-rule( 规 
则 左 键 )、RHand-rule( 规 则 右键 )、Pattern (BE 3X) , Match (Me HE ) , Function C ER #0) , Solt CE 


A 
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值 ) 和 MultiSolt( 多 模 值 ) ,所 有 访问 控制 策略 文件 都 是 由 这 9 个 语言 要 素 舱 套 组 合 而 成 的 ， 
其 嵌 套 语法 如 图 5. 10 所 示 。 


: F r Template: 1 
Policy File 1 
— ES Ir (deftemplate TamplateName (Solt soltNamel) (Solt | 
Templatel 1 soltName2)--- 1 
Rulel L----------------------------------- 1 
Wemplaie2 ||| ——  " "Reemi mri mmm mm d zB 
Rule2 p —— — — — Rule: 1 
1 | (defrulet RuleName (LHand-rule) => 1 dl 
ne 二 = [ir Eit EA EZ 
r LHand-rule: ! i RHand-rule: ] 
1 (Patternl Pattern2---Functionl | | (assert Patternl Pattern2---) 1 
pag pigran pue L------4------------4 
1  m--------------- d------------ = 
Pattern: 
1 | GatemName match or function E 

Ns trie] iier 
T--—-—-------4d--2---2------ <q r-------L----------4 
r Function: | | Match | 
| (Command i | (soltName or multisoltName | 
| value or solt or multisolt function i 1 1 
MOREAU | ze REESE [Er ES EDEN 

5.10 AATN-Jess 语法 逻辑 示意 图 
其 中 : 
(D 每 一 个 访问 控制 策略 文件 (Policy File) 都 包含 一 个 或 者 多 个 模板 (Template) 和 规 
则 (Rule)。 


(2) 每 一 个 模板 是 若干 Solt( 槽 值 ) 和 MoultiSolt( 多 槽 值 ) 的 组 合 , 置 于 一 个 小 括号 *()” 
内 ,用 于 存放 访问 控制 策略 要 求 的 证 书 属性 。 

(3) 每 一 个 规则 由 一 个 规则 左 键 (LHand-rule) 和 一 个 规则 右键 (RHand-rule) 组 成 , 左 
键 和 右键 之 间 以 “三 二 "链接 并 置 于 一 个 小 括号 "()” 内 ,用 于 定义 访问 控制 策略 对 证 书 的 约 
IR ,在 证 书 集合 能 够 满足 规则 左 键 的 约束 时 ,产生 一 个 断言 , 即 规则 右键 。 

(4) 每 一 个 规则 左 键 包含 若干 模式 (Pattern) 和 函数 (Function), 用 于 定义 访问 控制 策 
略 对 证 书 集合 的 约束 。 

(5) 每 一 个 规则 右键 包含 若干 模式 (Pattern) ,用 于 包装 规则 产生 的 断言 。 

(6) 每 一 个 模式 由 若干 配 比 (Match) 和 函数 (Function) 组 成 。 

(7) 每 一 个 配 比 都 包含 两 部 分 ,前 半 部 分 是 变量 名 (soltName 或 者 multisoltName) ,后 
半 部 分 是 与 之 配 比 的 值 C(value) 或 者 约束 这 个 值 的 函数 (Function) , 意 为 选取 该 变量 的 值 等 
于 当前 配 比 提供 的 值 或 者 函数 值 的 证 书 。 

(8) 每 一 个 函数 包含 一 个 操作 符 (Command) 和 若干 操作 对 象 ( 包 括 值 、 变 量 、 值 或 者 变 
量 的 函数 )。 

(9) 此 外 ,AATN-Jess 语言 涉及 的 数据 类 型 和 变量 等 遵循 Jess 语言 的 语法 规则 。 

为 了 直观 地 说 明 AATN-Jess 的 语法 ,本 节 给 出 以 下 示例 : 给 出 一 个 简单 的 策略 ,以 观 
察 儿童 具有 的 技能 。 有 如 图 5. 11 所 示 的 Credential 1,2,3 三 个 证 书 , 图 5. 12 所 示 的 策略 
Policy example. clp 可 以 获得 所 有 儿童 (age 属性 值 小 于 或 者 等 于 6) 的 所 有 技能 (skill) 。 
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Credential 1: Credential 2: Credential 3: 
issuer-O-AAAA,C-China issuer-O-AAAA,C-China issuer-O-AAAA,C-China 
subject-O-Bob,C-China subject-O-Alice,C-China subject-O-Alice,C-China 
attrl-age attrl-age attrl-age 

valuel-5 valuel=4 valuel=24 

attr2=skill attr2=skill attr2=skill 

value2=sing value2=dance value2-drive 


5.11. 标识 个 人 信息 的 证 书 


Policy example.clp: 


(deftemplate person 定义 了 一 个 模板 ， 
(slot age) 包含 年 龄 (age) 和 
(multislot skills)) 技能 (skills) 两 个 属性 

(defrule littleChild 

(person (age ?age) 规则 左 键 ， 找 出 所 

(map 2map)) 有 6 岁 以 下 的 儿童 


(test (<= ?age 6)) 
=> 


(assert 规则 右键 ， 获 取 儿 
(person 童 的 年 龄 和 他 们 的 技能 


(age ?age) 
(skills (get ?map 


5.12. 观察 6 岁 以 下 儿童 技能 的 策略 


本 例 中 ,策略 Policy example. clp 最 终 只 命中 Credentiall 和 Credential2 并 获得 相应 的 
技能 sing( 唱 歌 ) 和 dance BERE) ,因为 “(test (所 一 ?age 6))” 排 除了 所 有 age 属性 值 大 于 6 
的 证 书 。 


5.3.4 AATN-Jess 策略 语言 编辑 器 


为 了 方便 用 户 定义 自己 的 访问 控制 策略 ,我们 向 用 户 提供 了 策略 编辑 器 PEditor 1. 0。 
根据 以 上 AATN-Jess 语法 规则 ,我 们 将 AATN-Jess 语法 逻辑 组 织 成 DOM 树 ( 我 们 称 之 为 
策略 编辑 树 ) , 树 中 每 一 个 节点 都 是 语法 中 的 一 个 元 素 , 用 户 只 需 在 树 上 添加 节点 就 可 以 定 
义 访问 控制 策略 ,而 不 必 担 心 语法 格式 错误 造成 的 策略 不 一 致 问题 。 

为 了 演示 PEditor 1. 0 的 使 用 ,我 们 编辑 了 前 面 示 例 中 的 Policy example. clp 文件 ,使 
用 PEditor 1. 0 编辑 的 Policy. example. clp 文件 的 策略 编辑 树 如 图 5. 13( 左 边 部 分 ) 所 示 。 
图 5. 13 标 出 了 策略 编辑 树 上 的 节点 和 目标 策略 文件 代码 之 间 的 联系 ,这 种 直观 的 联系 便于 
用 户 理 解 , 从 而 使 得 PEditor 1.0 变 得 更 加 实用 。 策 略 编辑 树 上 各 节点 的 前 置 图 标 与 各 节 
点 的 节点 性 质 名 是 一 一 对 应 的 关系 ,关联 如 下 : T— Template, S—Solt, Ms—Multisolt, R— 
Rule、RI 一 LHand-rule、Rr 一 RHand-rule、P 一 Pattern、M 一 Match 上 一 Function,V 一 Value。 
通过 不 同 的 前 置 图 标 , 用 户 可 以 了 解 每 一 个 节点 的 意义 ,方便 编辑 和 修改 。 
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Policy example.clp: 


(deftemplate person 


= E ea Lem A 
& ll Puicr_eemsle 1 定义 || (slot age) 
1 Template E (multislot skills) 
) 
(defrule littleChild) 
: XX dos. (person(age?age)(map?map)) 
1 LHand-rule : (test(<= ?age 6) 
a ede 3 => 
(assert) 
uet (person (age?age) 
e 1 定义 ! | (skills(get?map kill)) 
skins 1 RH and-rule i ) 
REN Ural her n ) 


V. map 
V skill 


5.13 Policy example. clp 策略 编辑 树 与 原 策略 文件 的 对 比 


5.4 本 章 小 结 


本 章 在 第 4 章 提出 的 自 适应 自动 信任 协商 模型 的 基础 上 ,主要 讨论 了 自 适应 信任 协商 
系统 的 设计 和 实现 问题 。 首 先 , 阐 述 了 系统 总 体 设计 和 模块 设计 ,然后 着 重 介绍 了 在 系统 设 
计 和 实现 中 使 用 的 AATN-Jess 策略 语言 ,分 析 了 AATN-Jess 的 语言 特点 和 语法 结构 。 


参考 文献 


[1] ERA ,金海 , 李 赤松 ,等 . 自动 信任 协商 及 其 发 展 趋势 []]. 软件 学 报 ,2006 ,17(9): 1933-1948. 

[2] KERK. 如何 用 开发 专家 系统 []]. 计算 机 与 现代 化 ,2003 ,1:29-31. 

[3] Smith B,Seamons KE.Jones MD. Responding to policies at runtime in TrustBuilder. In; Proc. of the 
5th Int? | Workshop on Policies for Distributed Systems and Networks. Washington; IEEE Computer 
Society Press.2004. 149-158. 

Shaoxu Guo. Wenbao Jiang. An Adaptive Automated Trust Negotiation Model and Algorithm [J]. 
In: International Conference on Communications and Intelligence Information Security. Nanning. 
Guangxi Province,China; IEEE Press,2010; 130-134. 

[5] Wenliang Chen. Wenbao Jiang. Analysis and Design of an Adaptive Automated Trust Negotiation 
System. 2011 IEEE International Conference on Mechatropic Science. Electric Engineering and 
Computer (MEC2011) , August 2011 (EI:20114114423112). 

郭 少 旭 . 自 适应 信任 协商 技术 研究 LDj. 北京 信息 科技 大 学 硕士 学 位 论文 ,2010. 


第 6 章 信任 管理 与 P2P 网 络 安全 


P2P(Peerto-Peer) 网 络 是 以 Internet 物理 网 络 为 基础 而 构建 的 逻辑 网 络 。 与 C/S 模 
型 不 同 ,P2P 模型 弱化 了 服务 器 的 概念 ,系统 中 的 各 个 节点 不 再 区 分 服务 器 和 客户 端的 角色 
关系 ,每 个 节点 既 可 请 求 服务 ,也 可 提供 服务 ,节点 之 间 不 必 通 过 服务 器 就 可 以 直接 交换 资 
源 和 服务 。P2P 改变 了 Internet 现在 的 以 大 网 站 为 中 心 的 状态 , 重 返 “ 非 中 心 化 ”, 并 把 权力 
交还 给 用 户 。 为 了 共享 文件 ,用 户 不 需要 服务 器 的 帮助 ,他 们 之 间 可 直接 进行 交互 。P2P 模 
型 还 降低 了 对 服务 器 的 依赖 并 且 增加 了 分 散 控制 能 力 ( 相 对 于 服务 器 的 集中 控制 ), 没 有 单 
一 的 失效 点 。 而 C/S 模型 中 服务 器 的 故障 或 失效 会 使 得 整个 系统 无 法 正常 运作 。P2P HE 
型 对 等 点 之 间 通 过 直接 连接 共享 资源 ,而 且 无 须 中 心服 务 器 的 控制 就 能 够 实现 对 等 点 之 间 
的 协同 合作 。P2P 网 络 为 生活 中 的 人 与 人 直接 交流 提供 了 网 络 环 境 , 人 们 可 以 自由 加 入 网 
络 为 他 人 提供 内 容 和 服务 ,同时 也 可 以 从 网 络 中 查找 请 求 自身 所 需要 的 资源 。 随 着 P2P 网 
络 的 发 展 , 它 已 经 成 为 我 们 日 常生 活 、 娱 乐 和 交流 的 主要 应 用 形式 。 目 前 Internet 上 基于 
P2P 应 用 的 数据 流量 达到 60% 以 上 中 ,这 也 从 一 个 方面 标志 着 互联 网 已 经 从 集中 化 走向 了 
分 布 化 。 


6.1 P2P 网 络 概述 


最 近 几 年 ,P2P 应 用 成 为 Internet 上 的 一 个 热点 。 其 实 P2P 并 不 是 一 个 新 概念 ,在 
1969 年 Internet 的 前 身 ARPANET 刚 出 现 的 时 候 , 网 络 的 应 用 模式 就 是 P2P。ARPANET 
上 最 早 的 主机 包括 UCLA、SRI、UCSB 和 Utah 大 学 的 计算 机 系统 ,这 些 计算 机 系统 都 是 独 
立 而 且 平 等 的 ,ARPANET 是 以 一 种 平等 的 设计 方式 把 这 些 计算 机 系统 连接 起 来 ,而 不 是 
Master/Slave 或 者 是 Client/Server 的 方式 连接 。Internet 出 现 后 ,也 出 现 了 若干 经 典 P2P 
复杂 系统 ,例如 Usenet 和 DNS。 从 1995 年 开始 , 随 着 PC 的 广泛 使 用 并 接 人 Internet, fif 
Internet 出 现 了 许多 新 情况 ,例如 网 上 协作 的 崩溃 .防火墙 的 大 量 使 用 ,从 而 产生 了 许多 非 
对 称 的 网 络 连接 方式 ,比如 ADSL 和 Cable Modem, Client/Server 模式 成 了 网 络 主流 的 使 
用 方式 ,严重 阻碍 了 PZP 网 络 的 发 展 。2000 年 开始 ,一 个 能 够 在 网 上 进行 音乐 文件 共享 的 
名 为 Napster 的 P2P 程序 在 网 上 广 为 流 行 . 短 时 间 就 吸引 了 成 千 上 万 的 用 户 , 使 P2P 网 络 
重新 回 到 了 人 们 的 视线 里 。 与 此 同时 ,OICQ 和 QQ 等 即时 聊天 程序 的 成 功 也 使 更 多 开发 
人 员 关 注 P2P, 并 开发 属于 他 们 的 PZP 程序 , 越 来 越 多 的 用 户 在 使 用 P2P 应 用 程序 。 时 至 
今日 ,P2P 技术 在 文件 共享 、 即 时 聊天 ,协同 工作 、 游 戏 以 及 网 络 搜 索 等 领域 均 发 挥 着 极其 重 
要 的 作用 。 


6.1.1 P2P 网 络 的 定义 


P2P 即 对 等 计算 或 对 等 网 络 , 通 常 简 称 为 PZP。 在 P2P 网 络 环境 中 ,成 千 上 万 台 彼 此 
连接 的 计算 机 都 处 于 对 等 的 地 位 ,整个 网 络 一 般 来 讲 不 依赖 专用 集中 服务 器 。 网 络 中 的 每 
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一 台 计 算 机 既 能 充当 网 络 的 请 求 者 ,又 能 对 其 他 计算 机 的 请 求 做 出 相应 ,提供 资源 与 服务 。 
通常 这 些 资 源 和 服务 包括 信息 的 共享 与 交换 、 计 算 资源 (CPU) 的 共享 使 用 以 及 存储 资源 
(如 缓存 和 磁盘 空间 ) 的 使 用 等 。 

对 于 P2P 的 定义 ,不 同 的 机 构 有 着 不 同 的 理解 ,每 种 理解 方式 本 质 上 并 不 矛盾 ,都 从 不 
同 的 侧面 揭示 了 P2P 网 络 的 特点 。 

Intel 公司 将 P2P 定义 为 “通过 系统 间 的 直接 交换 达成 计算 机 资源 与 信息 共享 的 系统 ”， 
这 些 资 源 与 服务 包括 信息 交换 、 处 理 器 时 钟 .缓存 和 磁盘 空间 等 。 

IBM 公司 对 P2P 的 定义 则 更 为 广泛 ,认为 P2P 是 由 若干 互联 协作 的 计算 机 构成 的 系 
统 , 系 统 具备 以 下 特征 中 : 

。 系统 依存 于 边缘 化 ( 非 中 央 式 服务 器 ) 设 备 的 主动 协作 ,每 个 成 员 直 接 从 其 他 成 员 而 

不 是 从 服务 器 的 参与 中 受益 。 

。 系统 中 成 员 同 时 扮演 服务 器 与 客户 端的 角色 。 

。 系统 应 用 的 用 户 能 够 意识 到 彼此 的 存在 而 构成 一 个 虚拟 或 实际 的 群体 。 

从 学 术 研 究 的 角度 看 ,P2P 包含 3 个 层面 的 含义 : 

(1) P2P 实现 技术 。 指 构建 P2P 应 用 系统 时 所 用 到 的 技术 ,包括 相关 协议 (如 
Gnutella, FastTrack 等 ) 。 

(2) P2P 通信 模式 。P2P 通信 模式 与 传统 的 客户 机 /服务 器 模式 不 同 , 每 个 通信 方 都 具 
有 相同 的 逻辑 能 力 , 并 且 每 个 通信 方 都 有 能 力 发 起 一 个 通信 过 程 。 

(3) P2P 网 络 。 指 由 P2P 节点 .附属 管理 设备 (如 索引 服务 器 等 ) 及 其 相关 应 用 等 组 成 
的 可 实现 PZP 功能 的 网 络 , 它 是 一 种 运行 在 Internet. 上 的 动态 变化 的 逻辑 网 络 。 每 个 P2P 
系统 都 对 应 一 个 P2P 网 络 。P2P 网 络 是 一 种 具有 较 高 扩展 性 的 分 布 式 系统 结构 ,对 等 概念 
是 指 网 络 中 的 物理 节点 在 逻辑 上 具有 相同 的 地 位 ,而 非 处 理 能 力 的 对 等 。 

简单 地 说 ,P2P 技术 是 一 种 用 于 不 同 PC 用 户 之 间 、 不 经 过 中 继 设备 直接 交换 数据 或 服 
务 的 技术 。 在 P2P 网 络 中 ,每 个 节点 的 地 位 都 是 相同 的 ,具备 客户 端 和 服务 器 双重 特性 ,可 
以 同时 作为 服务 使 用 者 和 服务 提供 者 。 由 于 P2P 技术 的 飞速 发 展 , Internet 的 存储 模式 将 
由 目前 的 “内 容 位 于 中 心 ”模式 转变 为 “内 容 位 于 边缘 ”模式 ,改变 Internet 现在 以 大 网 站 为 
中 心 的 状态 , 重 返 “ 非 中 心 化 ”。 


6.1.2 P2P 结构 与 C/S 结构 的 比较 


早 在 20 世纪 90 年 代 初期 ,C/S 模式 就 成 为 计算 机 网 络 中 最 流行 的 模式 中 ,如 图 6. 1 所 
示 。 在 C/S 模 式 中 ,数据 信息 都 保存 在 服务 器 中 ,如 果 


用 户 想 下 载 特定 的 文档 ,客户 机 需要 先 定位 一 个 正确 服务 器 客户 机 
的 服务 器 ,然后 向 该 服务 器 发 送 对 文档 的 请 求 ,并 取得 | 
返回 结果 。 这 种 模式 的 优点 在 于 安全 性 好 ,易于 管理 ， «s 
符合 市 场 的 需求 。 Sarn 

然而 ,这 种 模式 要 求 有 高 性 能 的 服务 器 ,并 且 容 易 
导致 网 络 中 的 内 容 都 集中 于 少数 服务 器 ,服务 器 成 为 e «s 


网 络 中 的 主宰 。 由 于 每 台 服 务 器 所 能 提供 的 信息 数量 客户 机 
受到 自身 存储 空间 的 限制 ,并 且 任意 时 刻 它 所 支持 的 图 6.1 传统 C/S 网 络 结构 
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客户 端 访问 数量 既 受 到 自身 处 理 能 力 的 限制 ,也 受到 服务 器 所 在 网 络 吞 吐 能 力 的 限制 ,因此 
容易 产生 服务 器 “瓶颈 ”问题 。 

P2P 网 络 如 图 6. 2 所 示 ,虽然 P2P 网 络 一 些 具 体 的 结构 没有 完全 抛弃 服务 器 ,但 是 服 
务 器 的 功能 已 经 被 大 大 弱化 了 。 各 个 对 等 节点 之 间 
是 平等 的 主体 ,每 个 节点 既是 服务 器 又 是 客户 端 ,网 
络 资源 不 再 集中 于 一 处 ,而 是 分 散 到 每 个 节点 ,使 得 
网 络 重 返 “ 非 中 心 化 ”, 把 权力 交还 给 了 用 户 ;网 络 应 
用 的 核心 也 从 中 央 服 务 器 向 网 络 边缘 的 终端 设备 
扩散 。 

P2P 网 络 的 这 种 分 布 式 结构 能 有 效 均衡 负载 ， 
充分 利用 带宽 ,交互 性 好 ,及 时 性 好 ,也 符合 市 场 的 
要 求 。P2P 技术 是 人 们 在 Internet 流量 的 主要 应 用 
类 型 ,甚至 经 常 超过 对 Web 的 访问 流量 。 在 2002 
年 ,对 一 个 大 型 ISP 主干 网 的 多 个 边界 路 由 器 的 流 
量 分 析 中 可 知 ,3 个 流行 的 P2P 系统 占用 了 总 计 达 1. 2TB/ 天 的 流量 品 。 

与 传统 网 络 的 客户 机 /服务 器 模式 截然 不 同 的 网 络 架构 使 得 P2P 网 络 面临 着 一 系列 的 
安全 挑战 。 传 统 的 客户 机 /服务 器 结构 通过 服务 器 对 用 户 身 份 及 网 络 中 传送 的 数据 进行 了 
合法 性 验证 ,同时 由 于 用 户 直接 从 服务 器 得 到 数据 ,因而 减少 了 中 间 传 送 者 引起 的 安全 问 
题 。 可 以 说 ,传统 的 客户 机 /服务 器 模式 中 ,服务 器 的 存在 在 某 些 方面 为 网 络 的 安全 提供 了 
保证 。 当 然 , 不 可 忽视 的 是 ,由 于 服务 器 在 网 络 中 的 特殊 地 位 ,使 其 成 了 黑客 攻击 的 焦点 ,从 
而 很 容易 成 为 安全 问题 的 瓶颈 ,一 旦 服务 器 遭 到 攻击 , 则 很 可 能 导致 整个 网 络 处 于 瘫痪 状 
态 。 传 统 网 络 与 P2P 网 络 的 对 比 见 表 6. 1。 


表 6.1 传统 网 络 与 P2P 网 络 对 比 


6.2 P2P 网 络 结构 


对 比 项 传统 网 络 P2P 网 络 
"— 有 中 心服 务 器 ,容易 成 为 网 络 服务 的 | 无 中 心服 务 器 或 服务 器 功能 大 大 能 化 ， 
瓶颈 ,是 DDoS 攻击 的 主要 目标 不 易 形成 网 络 的 瓶颈 
A d P BLAUS IRA REEE |o sn 、 
客户 端 D aA 每 个 客户 端 之 间 地 位 平等 ,可 自由 通信 
" 由 DNS 负责 域名 解析 ,客户 端 之 间 | 网 络 中 的 每 个 节点 都 在 本 地 维护 一 份 路 
无 法 自由 通信 由 表 , 负 责 路 由 查询 及 存储 转发 


在 网 络 中 的 各 个 节点 上 进行 分 布 式 的 存 
储备 份 

网 络 中 各 节点 负责 验证 与 自己 通信 的 一 
方 的 身份 


网 络 中 的 数据 资源 | 在 服务 器 上 进行 存储 、 备 份 


身份 认证 由 服务 器 负责 对 客户 身份 进行 验证 


与 传统 的 客户 机 /服务 器 模式 相 比 ,一 方面 ,P2P 系统 中 没有 中 心 节点 ,各 个 节点 处 于 同 
等 的 地 位 , 某 个 节点 的 失效 并 不 会 造成 整个 网 络 的 瘫 疼 , 因 而 具有 更 好 的 生存 性 。 但 是 ,从 
另 一 方面 讲 ,P2P 网 络 缺 乏 一 个 集中 的 权威 实体 来 对 网 络 中 的 用 户 与 数据 进行 合法 性 验证 。 
而 且 ,P2P 网 络 特有 的 数据 传输 的 匿名 性 也 使 得 其 数据 传输 的 路 径 不 可 控 。 这 个 特点 很 容 
易 被 某 些 恶意 节点 利用 来 对 网 络 进行 攻击 。 
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6.2 P2P 网 络 的 信任 机 制 


在 P2P 得 到 广泛 应 用 的 同时 , 它 的 缺陷 也 逐步 暴露 出 来 。 由 于 P2P 网 络 的 开放 性 和 匿 
名 性 等 特点 ,节点 与 节点 之 间 相 互 不 了 解 ,很 难 应 对 一 些 恶 意 节 点 传播 病毒 、 木 马 或 质量 不 
可 靠 文 件 的 现象 ,同时 节点 所 拥有 的 敏感 资源 缺乏 有 效 保 护 ,存在 被 窃取 的 可 能 。 这 些 安全 
性 问题 严重 制约 了 P2P 网 络 的 发 展 。 

因此 ,如 何 引 入 一 种 机 制 解决 P2P 环境 中 存在 的 欺诈 行为 和 恶意 行为 ,有 效 地 保护 节 
点 的 敏感 资源 和 敏感 信息 已 经 成 为 P2P 网 络 安全 面临 的 主要 问题 。 目 前 仅仅 是 采用 技术 
性 的 加 密 和 一 些 简单 的 认证 手段 还 不 足以 解决 建立 联系 的 对 方 是 否 可 靠 的 问题 。 这 就 需要 
一 种 联系 双方 通过 协商 沟通 而 逐步 建立 信任 关系 的 机 制 。 协 商 过 程 中 ,可 以 将 不 具 资格 或 
没有 权限 的 潜在 恶意 用 户 排除 ,从 而 有 效 地 保证 建立 联系 的 节点 的 可 靠 性 ,加 强 P2P 系统 
的 安全 性 。 因 此 ,在 P2P 这 一 开放 的 环境 中 构建 信任 协商 模型 具有 十 分 重要 的 意义 。 


6.2.1 P2P 网 络 安 全 问题 


P2P 文件 共享 系统 的 迅速 发 展 给 和 人们 在 网 络 中 共享 信息 带 来 了 极 大 的 方便 ,但 是 由 于 
P2P 特有 的 自治 性 、 异 构 以 及 动态 性 等 特点 ,P2P 文件 共享 系统 在 其 快速 发 展 的 过 程 中 碰 到 
了 很 多 难题 ,从 目前 的 现状 来 看 ,主要 有 以 下 几 个 方面 的 问题 7]。 

l. 占用 带宽 资源 大 

P2P 文件 共享 目前 已 经 成 为 互联 网 上 占用 带宽 资源 最 大 的 应 用 ,2005 年 欧洲 主要 互联 
网 服务 提供 商 在 主干 网 络 路 由 器 上 的 一 个 统计 表明 ,P2P 文件 共享 已 经 占用 了 主干 网 70% 
的 带宽 。 这 也 导致 了 宽带 网 络 运 营 商 们 对 其 又 爱 又 恨 , 爱 的 是 P2P 文件 共享 为 他 们 吸引 了 
更 多 的 终端 用 户 ; 恨 的 是 网 络 流量 大 幅 上 涨 , 增 加 网 络 运营 成 本 ,但 是 由 于 终端 用 户 一 般 采 
用 包月 收费 制度 ,因此 他 们 并 没有 从 单个 用 户 中 得 到 更 多 的 收益 。 

2. 虚假 文件 、 病 毒 等 恶意 信息 的 泛滥 

由 于 P2P 文件 共享 系统 拥有 相当 大 规模 的 用 户 , 当 用 户 进 行 搜索 时 (尤其 是 进行 热门 
资源 的 搜索 时 ) ,必然 会 得 到 大 量 的 搜索 结果 。 然 而 这 些 结果 并 不 一 定 都 是 用 户 需要 的 文 
TF ,很 多 是 名 不 副 实 的 虚假 文件 。P2P 无 法 保证 用 户 提供 的 文件 是 完整 可 靠 的 ,更 无 法 保证 
用 户 所 提供 的 文件 信息 与 文件 一 致 。 一 个 病毒 的 制造 者 可 以 简单 地 将 他 的 病毒 伪装 成 一 个 
热门 文件 ,导致 网 络 上 病毒 泛滥 。 

3. 简单 恶意 节点 攻击 

在 P2P 网 络 中 ,最 普遍 存在 的 恶意 节点 攻击 方式 可 能 是 : 当 一 个 节点 接收 到 请 求 节点 
关于 某 个 文件 的 查询 请 求 时 , 它 便 自称 有 匹配 的 文件 ,给 此 请 求 节点 返回 一 个 响应 。 当 请 求 
节点 将 它 选 为 下 载 源 进行 下 载 时 , 它 便 提供 虚假 的 文件 ,甚至 散播 病毒 或 木马 ,给 请 求 节点 
造成 严重 损失 。 这 种 恶意 节点 攻击 方式 在 P2P 网 络 中 大 量 存在 .也 是 最 简单 、 最 普通 的 攻 
击 方式 。 


4. 不 诚实 的 反馈 
在 基于 推荐 的 信任 模型 中 ,交互 经 验 信息 是 共享 的 ,这 就 给 有 恶意 企图 的 节点 提供 了 机 
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会 。 当 它 接收 到 某 节点 欲 获取 另 一 节点 的 可 信 度 信息 时 ,如 果 它 与 此 节点 有 交互 记录 ,但 是 
它 不 是 提供 公正 的 交互 信息 ,而 是 贬低 (或 夸大 ) 此 记录 来 误导 请 求 节点 (单独 的 此 类 恶意 节 
点 一 般 表 现 为 拆毁 曾经 交易 过 的 节点 ;如 果 是 节点 联合 作 兹 , 则 表现 为 对 内 部 成 员 提 供 奇 大 
的 评价 ) 。 虽 然 这 种 行为 不 会 立即 产生 危害 ,但 是 可 能 导致 低 信任 度 的 节点 甚至 恶意 节点 被 
选择 作为 下 载 源 从 而 发 生 交易 失败 或 者 有 害 的 交易 。 

5. 合谋 欺诈 

不 像 单独 的 恶意 节点 攻击 方式 ,合谋 欺诈 是 一 种 恶意 节点 联合 起 来 形成 集团 ,互相 勾 
结 ,联合 作弊 的 一 种 攻击 方式 。 内 部 成 员 之 间 通 过 多 次 交易 并 彼此 给 出 高 的 评价 来 抬 高 集 
团 内 部 节点 的 信誉 度 , 对 外 部 节点 则 提供 不 可 信 文 件 及 虚假 的 评价 。 此 类 恶意 节点 攻击 方 
式 和 危害 很 大 , 当 系统 中 此 类 节点 比例 达到 一 定 程度 时 ,可 能 会 严重 扰乱 系统 决策 ,甚至 使 系 
统 瘫痪 。 


6. 具有 策略 的 恶意 攻击 

这 类 节点 很 熟悉 系统 “游戏 "规则 ,开始 伪装 为 一 个 好 节点 ,提供 真实 文件 ,等 骗取 了 和 较 
高 的 信誉 度 后 ,便利 用 此 信誉 欺骗 请 求 下 载 文件 的 节点 ,给 其 提供 不 可 信 文 件 或 者 虚假 的 推 
荐 ,信誉 度 因此 下 降 。 等 信誉 度 下 降 到 一 定 程度 、 超 出 系统 规定 的 最 低 门 限时 ,该 节点 就 变 
为 不 可 信 节 点 ,但 是 该 节点 有 可 能 改变 身份 重新 登录 网 络 。 这 类 节点 中 有 一 种 更 狐 独 的 节 
点 可 能 会 以 一 定 的 概率 提供 真实 文件 ,从 而 使 自己 信誉 度 时钟 维 持 在 系统 规定 的 可 信和 界限 
之 内 ,试图 不 被 系统 觉察 ,以 长 期 行 骗 来 达到 个 人 目的 。 这 类 节点 的 存在 无 疑 加 重 了 系统 防 
范 的 负担 ,因为 它 对 信任 模型 的 攻击 更 具 隐蔽 性 。 


7. 管理 困难 、 安 全 隐患 大 

P2P 文件 共享 系统 没有 中 心服 务 器 ,导致 对 系统 中 节点 的 管理 非常 困难 。P2P 网 络 中 
单个 节点 崇尚 自由 ,每 个 节点 彼此 独立 ,既是 客户 机 又 是 服务 器 ,所 以 没有 人 知道 对 方 有 什 
么 内 容 。 缺 乏 管理 的 PZP 网 络 可 能 会 成 为 病毒 .色情 内 容 和 非法 交易 的 温床 ,甚至 为 恐怖 
分 子 所 利用 。 另 外 ,与 传统 的 客户 机 /服务 器 结构 相 比 ,P2P 网 络 自身 的 开放 性 和 自治 性 使 
得 它 的 安全 性 要 差 得 多 。 一 个 拥有 众多 用 户 的 P2P 网 络 可 能 会 成 为 黑客 新 的 攻击 目标 ,而 
且 分 散 式 结构 的 P2P 网 络 有 利于 木马 病毒 等 破坏 性 程序 的 传播 ,这 将 极 大 地 威胁 P2P 网 
络 的 安全 。 

为 解决 上 述 问题 ,研究 人 员 提 出 了 许多 安全 方案 。 在 P2P 网 络 的 众多 安全 方案 当中 ， 
信任 机 制 非常 引 人 注 目 ,P2P 网 络 引 入 信任 机 制 旨 在 解决 对 等 网 络 的 一 系列 安全 问题 ,研究 
P2P 网 络 的 信任 机 制 具有 很 大 的 现实 意义 。 


6.2.2 P2P 信任 的 特点 


虽然 信任 的 定义 多 种 多 样 , 但 这 些 定义 所 具有 的 特点 是 大 同 小 异 的 。 在 P2P 网 络 中 ， 
信任 关系 应 具有 如 下 性 质 。 

1. 信任 存在 于 两 个 实体 之 间 

信任 只 有 和 其 他 实体 联系 起 来 , 才 有 存在 的 意义 。 信 任 是 信任 者 和 受信 者 两 者 之 间 的 
关系 。 
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2. 信任 是 主观 的 

信任 不 是 一 个 实体 的 客观 属性 ,而 是 其 他 实体 对 它 的 主观 评价 。 不 同 的 实体 对 另外 的 
同一 个 实体 可 能 有 不 同 的 评价 。 

3. 信任 是 非 对 称 的 ( 单 向 的 ) 

实体 A 信任 实体 B, 不 一 定 实体 B 就 信任 实体 A, 即 使 A 和 B 相互 信任 ,它们 信任 对 方 
的 程度 也 不 一 定 相同 。 因 为 各 实体 提供 服务 的 能 力 和 使 用 资源 的 可 信 度 必须 存在 差异 , 同 
时 不 被 信任 的 实体 完全 可 以 相信 别 的 实体 所 享有 的 信誉 

4. 信任 不 具有 传递 性 

实体 A 信任 实体 B, 实 体 B 信任 实体 C, 并 不 一 定 实体 A 就 信任 实体 C。 传 递 性 只 是 在 
一 定 条 件 下 满足 。 


5. 信任 具有 传播 性 

实体 之 间 信任 关系 的 变化 会 影响 其 他 实体 之 间 的 信任 关系 。 因 为 推荐 信任 关系 是 根据 
其 他 实体 的 评估 而 建立 起 来 的 一 种 信任 关系 。 例 如 , 当 一 个 实体 有 不 诚实 行为 时 ,与 之 有 过 
交易 的 实体 对 其 评估 就 会 很 差 , 这 样 与 该 实体 有 关 的 信任 度 都 会 降低 ,类 似 于 现实 社会 中 的 
“恶名 远扬 ”。 

6. 信任 是 动态 变化 的 

实体 之 间 的 信任 关系 不 是 持久 不 变 的 , 受 实体 行为 的 影响 , 随 之 动态 变化 。 合 法 诚信 的 
行为 将 会 提高 信任 度 ,反之 则 降低 信任 度 。 

7. 信任 是 上 下 文 相关 的 

不 同 的 环境 使 得 一 个 实体 对 另 一 个 实体 有 不 同 的 信任 评价 。 


6.2.3 P2P 信任 模型 的 分 类 


目前 ,关于 信任 模型 的 研究 十 分 广泛 ,已 经 提出 的 信任 模型 类 型 多 种 多 样 ,通过 分 析 这 
些 类 型 各 自 的 特性 ,对 信任 和 信誉 系统 的 类 型 做 如 下 的 分 类 中 。 

根据 是 否 有 几 种 管理 信任 和 信誉 的 机 制 , 分 为 集中 式 信任 模型 和 分 布 式 信任 模型 。 集 
中 式 信 任 模 型 就 是 将 网 络 中 所 有 节点 的 信誉 值 进行 统一 集中 存储 和 管理 ;分 布 式 信任 模型 
则 是 将 节点 的 信任 和 信誉 值 的 管理 和 存储 任务 分 布 到 网 络 中 的 各 个 节点 上 。 集 中 式 信任 模 
型 典型 的 例子 是 在 线 交 易 系 统 , 如 eBay、 淘宝 等 。 在 这 些 系统 中 ,进行 网 上 交易 的 买卖 双方 
在 进行 一 次 交易 后 ,会 彼此 对 对 方 的 交易 行为 结果 进行 评定 ;而 每 个 节点 的 信誉 结果 值 存储 
于 中 央 系 统 , 代 表 节 点 的 诚信 和 度 ,作为 未 来 交易 中 买方 选择 进行 交易 的 依据 。 此 信誉 系统 中 
的 信任 值 是 直接 发 生 交易 后 的 评定 值 , 而 信誉 值 是 以 往 信 任 值 的 累加 ,因此 ,信任 和 信誉 值 
一 致 。 同 时 ,信誉 值 的 计算 式 简 单 ,便于 部 署 实施 。 但 对 于 纯 P2P 网 络 环境 ,如 Gnutella, 
这 类 信誉 系统 没有 实际 应 用 的 可 能 ,因为 没有 中 央 节 点 来 集中 存储 管理 这 些 评定 的 信誉 值 
信息 。 

根据 信任 值 和 信誉 值 收集 的 范围 的 不 同 , 信 任 模型 可 分 为 全 局 信任 模型 和 局 部 信任 模 
型 两 类 。 全 局 信任 模型 的 目的 是 要 综合 整个 PP 网 对 其 中 的 某 个 节点 的 信任 评价 方法 外 。 
该 方法 是 将 网 络 中 的 所 有 节点 之 间 的 相互 信任 评价 进行 迭代 运算 ,如 果 能 证 明 运 算 收 敛 , 那 
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么 最 终 得 到 的 就 是 整个 网 络 对 其 中 的 每 个 节点 的 信任 评价 。 全 局 信任 模型 信任 评价 综合 了 
整个 P2P 网 络 中 所 有 Peer 的 意见 ,是 比较 准确 的 ,但 是 忽略 了 信任 的 私人 化 特征 ,对 于 某 
个 特定 的 节点 ,其 他 节点 对 它 的 信任 值 是 相同 的 。 简 单 的 全 局 信任 模型 容易 受到 恶意 节点 
联合 欺诈 的 攻击 ,而 复杂 的 全 局 P2P 网 下 一 种 基于 组 群 的 信任 模型 一 一 全 局 信任 模型 需要 
节点 之 间 合作 处 理 信 任 信息 ,计算 和 开销 都 较 大 ”9 。 局 部 信任 模型 的 目的 是 指 将 整个 P2P 
网 对 Peer 的 信任 评价 中 的 部 分 评价 进行 综合 ,得 到 局 部 对 Peer 的 信任 评价 "”。 已 有 的 关 
T P2P 网 络 的 局 部 信任 模型 大 多 关注 于 提供 机 制 ,使 得 节点 可 以 根据 共享 信息 为 给 定 节点 
或 资源 计算 局 部 信任 值 。 局 部 信任 模型 的 优点 是 计算 简便 ,计算 结果 收敛 快 ;不 足 则 在 于 计 
算 结 果 是 局 部 的 ,所 反映 的 节点 可 信和 度 具有 片面 性 。 

根据 可 信 对 象 的 不 同 可 将 信任 模型 划分 为 基于 角色 的 信任 模型 和 基于 角色 拥有 资源 的 
信任 模型 。 前 者 指 用 户 节 点 可 信 , 则 节点 拥有 的 资源 可 信 , 目 前 常常 采用 这 种 可 信和 机制 ;而 
后 者 在 考虑 节点 可 信 的 同时 还 考虑 节点 资源 的 可 信和 ,进一步 约束 节点 偶尔 进行 恶意 行为 的 
可 能 ,典型 的 如 Kaza 采用 的 Sig2Dat。 这 种 方法 不 追求 节点 的 可 信和 度 , 而 是 强调 数据 的 可 
信和 度 。 但 该 方法 仅 针对 数据 共享 应 用 (如 文件 共享 ), 而 且 无 法 防止 集体 欺诈 行为 , 即 恶意 的 
群体 对 某 不 真实 的 数据 集体 签名 。 


6.3 P2P 网 络 信任 协商 系统 的 设计 与 分 析 


P2P 网 络 是 众多 参与 者 按照 共同 兴趣 组 建 起 来 的 一 个 虚拟 组 织 ,节点 之 间 存 在 着 一 种 
假定 的 相互 信任 关系 。 但 随 着 P2P 网 络 规模 的 扩大 ,P2P 网 络 中 难免 会 存在 着 一 些 恶意 的 
节点 ,它们 只 需 加 入 P2P 网 络 中 便 可 以 轻而易举 地 获得 其 他 节点 的 敏感 资源 。 这 种 情况 的 
出 现 给 P2P 网 络 带 来 了 很 大 的 安全 威胁 ,阻碍 了 P2P 网 络 的 发 展 。 信 任 协商 是 解决 这 一 问 
题 的 有 效 方法 ,通过 对 敏感 资源 设置 保护 策略 ,使 得 资源 访问 方 必须 具备 相应 的 资格 才能 访 
问 敏感 资源 ,大 大 增强 了 系统 的 安全 性 。 

采用 信任 协商 技术 ,我 们 研制 了 一 个 P2P 网 络 信任 协商 系统 一 一 基于 信任 协商 的 网 络 
协同 攻防 游戏 系统 NetTrust。 针 对 目前 多 数 网 络 攻防 游戏 系统 缺少 协同 交流 ,我 们 在 系统 
中 专门 设计 了 一 种 P2P 协同 聊天 程序 。 针 对 聊天 程序 中 协同 交流 的 双方 在 交流 过 程 中 会 
涉及 用 户 敏感 信息 ,不 利于 用 户 自 身 安 全 和 系统 安全 的 问题 ,将 信任 协商 融和 人 P2P 聊天 程 
序 中 ,双方 在 一 定 的 信任 的 基础 上 进行 协同 交流 ,大 大 降低 了 敏感 信息 泄露 给 非 授 权 用 户 的 
风险 。 


6.3.1 NetTrust 系统 需求 分 析 


网 络 攻防 游戏 是 信息 安全 教学 过 程 中 的 一 种 有 效 辅助 手段 ,但 现 有 网 络 攻防 游戏 因 缺 
乏 协 同 交 流 而 使 其 趣味 性 大 打折 扣 。 目 前 的 协同 交流 工具 的 信任 关系 建立 在 交流 双方 共同 
的 兴趣 爱好 的 基础 上 ,这 种 信任 关系 是 脆弱 的 ,双方 在 交流 过 程 中 所 涉及 的 敏感 信息 的 安全 
往往 无 法 得 到 保障 ,给 用 户 和 系统 带 来 了 安全 风险 。 我 们 根据 这 一 问题 ,将 基于 信任 协商 的 
P2P 网 络 协同 程序 融入 到 网 络 攻防 游戏 中 。 


l. 系统 开发 语言 分 析 
用 户 在 与 他 人 进行 交流 的 过 程 中 往往 不 只 局 限于 一 人 ,需要 与 多 人 同时 进行 交流 沟通 ， 
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这 就 需要 系统 开发 语言 支持 多 线程 技术 。 同 时 由 于 P2P 网 络 的 特点 ,网 络 中 的 各 个 节点 自 
身 的 系统 与 配置 均 有 不 同 ,因此 要 求 开 发 出 的 系统 应 具有 很 强 的 移植 性 ,可 以 满足 不 同系 统 
和 配置 的 要 求 。 无 疑 在 众多 编程 语言 中 ,Java 是 比较 符合 这 一 要 求 的 。Java 是 一 种 简单 
的 ,面向 对 象 的 ,分 布 式 的 、 解 释 型 的 .健壮 安全 的 、 结 构 中 立 的 、 可 移植 的 、 性 能 优异 的 、 多 线 
程 的 动态 语言 。Java 应 用 编程 接口 为 Java 应 用 提供 了 一 个 独立 于 操作 系统 的 标准 接口 ,可 
分 为 基本 部 分 和 扩展 部 分 。 在 硬件 或 操作 系统 平台 上 安装 一 个 Java 平台 之 后 ,Java 应 用 程 
序 就 可 以 运行 。 现 在 Java 平台 已 经 嵌入 了 几乎 所 有 的 操作 系统 。 这 样 Java 程序 可 以 只 编 
译 一 次 ,就 可 以 在 各 种 系统 中 运行 。 

2. 系统 功能 分 析 

P2P 网 络 中 ,每 个 节点 既 要 作为 服务 器 ,又 要 作为 客户 端 。 服 务 端 需 要 完成 的 功能 是 接 
受 服务 请 求 ,然后 针对 服务 或 资源 选择 策略 ,根据 对 方 的 证 书 保护 策略 发 送 相应 的 证 书 ; 客 
户 端 要 完成 的 功能 是 发 送 访 问 请 求 ,根据 服务 方 的 资源 保护 策略 发 送 相应 的 证 书 ,并 且 对 受 
保护 的 证 书 发 送 证 书 保护 策略 ;信任 协商 建立 成 功 之 后 建立 通信 过 程 ,每 个 节点 的 服务 器 部 
分 接收 信息 ,客户 部 分 发 送信 息 。 整 个 系统 的 流程 如 图 6.3 所 示 。 


策略 


策略 解析 


策略 


4 
访问 请 求 


SJ 
,g48 用 户 乙 


图 6.3 信任 协商 系统 流程 图 


其 具体 表述 过 程 如 下 : 

CD 用 户 请 求 建立 连接 后 ,接收 方 通过 策略 处 理 模块 为 访问 方 提供 一 条 访问 控制 策略 。 

(2) 用 户 收 到 返回 信息 后 ,分 析 它 是 策略 还 是 证 书 , 如 果 是 策略 则 对 其 进行 解析 ,看 是 
否 涉及 自身 所 拥有 的 敏感 证 书 。 

(3) 如 果 收 到 的 策略 中 涉及 自身 所 拥有 的 敏感 证 书 , 则 交 由 策略 处 理 模块 去 处 理 , 返 回 
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对 方 关 于 敏感 证 书 的 保护 策略 。 
(4) 如 果 不 涉 及 敏感 证 书 , 则 交 由 证 书 处 理 模块 处 理 , 依 据 对 方 的 策略 返回 策略 中 所 涉 
及 的 证 书 。 
G) 如 果 用 户 收 到 的 是 证 书 , 则 交 由 证 书 处 理 模块 处 理 ,看 是 否 符合 自身 提出 的 策略 
(6) 若 符合 自身 提出 的 策略 要 求 , 则 双方 建立 信任 关系 ,对 方 可 同 自 己 进行 协同 交流 ， 
了 解 自身 所 拥有 的 敏感 信息 ;如 不 符合 提出 的 策略 要 求 , 则 告知 对 方 用 户 协商 失败 ,双方 不 
能 建立 协同 连接 。 
6.3.2 NetTrust 系统 设计 


l. 系统 总 体 设计 
NetTrust 系统 的 总 体 框架 如 图 6.4 所 示 s 
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图 6.4 NetTrust 系统 总 体 框架 


各 模块 的 功能 介绍 如 下 。 

(D P2P 聊天 程序 : 实现 点 对 点 聊天 ,在 点 与 点 同意 通信 之 前 要 求 进行 自动 信任 协商 。 

(2) 信任 协商 主 模块 : 为 信任 协商 提供 了 一 个 外 部 接口 ,P2P 聊天 程序 接收 到 的 协商 
消息 传送 给 该 模块 ,处 理 得 到 的 反馈 消息 也 由 该 模块 发 出 。 

C3) 输入 输出 处 理 模块 : 接收 信任 协商 模块 传递 过 来 的 消息 或 者 产生 反馈 消息 ,并 且 
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将 消息 的 某 些 内 容 传递 给 可 视 化 界面 。 

(4) 可 视 化 界面 : 主要 是 显示 输入 输出 模块 传送 来 的 消息 。 

(5) 决策 模块 : 协商 消息 经 过 输入 输出 处 理 模 块 处 理 后 会 传递 给 决策 模块 。 决 策 模块 
决定 下 一 步 该 怎么 做 ,例如 披露 证 书 、 传 递 策略 ,信任 协商 失败 或 成 功 等 。 

(6) 一 致 性 检测 器 : 主要 有 两 个 功能 。 一 是 判断 给 定 的 策略 最 小 的 证 书 满足 集 ,二 是 
对 输入 的 证 书 集 判 断 是 否 满足 策略 。 

(7) 证 书 链 处 理 模块 : 根据 给 定 的 策略 找 出 其 证 书 满足 集 的 证 书 链 ; 判 断 给 定 的 证 书 
链 是 否 是 所 需 的 证 书 链 。 

(8) 查询 引擎 : 接收 查询 请 求 ,处理 查询 ,返回 查询 处 理 结果 。 

(9) 策略 管理 器 : 负责 从 硬盘 装载 用 户 的 策略 库 。 

(10) 证 书 管理 器 : 负责 从 硬盘 装载 用 户 的 证 书库 和 声明 库 。 

2. 证 书 的 设计 

证 书 定义 为 包含 关键 字 , 发 布 者 \ 持 有 人 、 有 效 日 期 等 的 属性 集 ,证 书 的 模板 如 表 6. 2 
所 示 。 

表 6.2 证书 模 板 设 计 


下 面 举 个 例子 加 以 说 明 。 证 书 Cl("ecc_food_company_certificate"," 北 京 市 卫生 局 "," 乐 
道 西 餐厅 ","2012. 04. 24") 是 一 个 乐 道 西餐 厅 卫 生 合 格 证 。 它 的 发 布 人 是 “北京 市 卫生 局 ”， 
持 有 人 是 “ 乐 道 西餐 厅 ”, 证 书 有 效 期 到 "2012 年 4 月 24 日 ”。 

C2("c HealthBureau certificate". "北京 市 卫生 局 ",' 张 三 ","2012. 04. 24") 

证 书 链 定义 为 由 多 个 证 书 的 关键 字 构 成 的 串 。 由 Cl1、C2 组 成 的 证 书 链 可 定义 为 ("c_ 


HealthBureau certificate"."ccc food company certificate") 。 


声明 的 定义 包含 关键 字 、 类 型 和 值 3 个 字段 ,具体 如 表 6. 3 所 示 。 


表 6.3 声明 模板 设计 


value 


字段 


数据 类 型 字符 串 


例如 ,一 个 声明 描述 为 ("Bob 的 电话 号 码 "." 电 话 号 码 ","12344678") , 则 该 声明 对 象 为 
id—"Bob 的 电话 号 码 ",type 二 "电话 号 码 ",value 二 "字符 串 "。 
3. 策略 的 设计 
策略 定义 为 3 个 字段 ,如 表 6.4 所 示 。 
表 6.4 策略 模板 设计 


字段 Resource_name credentials 


类 型 字符 串 E 多 维 
描述 受 策略 保护 的 对 象 证 书 集 
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例如 ,由 只 有 节点 拥有 CT.C2 两 个 证 书 才 可 以 参加 某 次 饮食 比赛 (Food_Competition) 
的 策略 可 描述 为 C1 A C2—-> Food, Competition. 用 上 面 设 计 的 策略 可 表示 为 Food_ 
Competition_policy( (resource_name Food Competition) (claims null) Ccredentials C), 其 


中 C 是 由 Cl 和 C2 构成 的 证 书 链 。 
6.3.3 信任 协商 功能 的 实现 


在 信任 协商 过 程 中 ,将 信任 协商 交互 双方 分 别称 为 请 求 方 和 资源 或 服务 提供 方 , 其 中 前 
者 发 起 请 求 服务 ,后 者 作为 资源 或 服务 提供 者 对 资源 定义 了 访问 控制 策略 进行 保护 。 请 求 
方 成 功 访问 提供 方 的 服务 或 资源 之 前 ,二 者 要 通过 信任 协商 机 制 建立 信任 关系 。 下 面 分 别 
介绍 信任 协商 请 求 方 和 资源 提供 方 的 功能 实现 。 

CD 根据 本 地 证 书 类 型 .策略 类 型 及 决策 模块 等 的 配置 参数 定义 一 个 Trust 对 象 ,配置 
参数 保存 在 本 地 文件 client. properties 中 。 

final TrustBuilder2 client=new Trust (CLIENT CONFIG); 
其 中 ,CLIENT_CONFIG 3j client. properties 的 路 径 。 

(2) 发 送 消息 将 请 求 方 的 配置 参数 告诉 资源 提供 方 ,包括 使 用 的 证 书 类 型 和 策略 类 型 。 
请 求 方 的 配置 参数 通过 generateInitMessage() 方 法 获得 。 同 时 ,请 求 方 也 要 知道 资源 提供 
方 的 配置 参数 , 它 通过 readObiect() 读 取 资 源 提 供 方 发 送 来 的 配置 消息 。 

(3) 请 求 方向 资源 提供 方 发 送 要 访问 的 服务 目标 : 


outMsg-client.generateResourceRequest (inMsg.getSessionId(), "服务 日 标 "); 
output.writeObject (outMsg); 


(4) 等 待 资源 提供 方 发 送 响 应 消息 : 
inMsg- (TrustMessage)input.readObject(); 


(5) 进行 信任 协商 循环 处 理 过 程 。 信 任 协商 处 理 过 程 通过 调用 TrustBuilder 的 
negotiate() 方 法 实现 ,negotiate() 对 收 到 的 消息 进行 处 理 , 将 处 理 结果 反馈 给 资源 提供 方 ， 
如 果 协 商 继 续 则 进程 挂 起 ,等 待 接收 下 一 条 消息 。 具 体 代码 如 下 : 


while(inMsg.getContinue() && outMsg.getContinue()) 
{ LL IEPEBORCRI (955 E 

outMsg-client.negotiate (inMsg); 

output.writeObject (outMsg); 

output.flush(); 

if (outMsg.getContinue())( 

inMsg- (TrustMessage)input.readObject(); 

} 
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(6) 退出 协商 循环 过 程 后 ,检查 协商 状态 ,修改 协商 标志 (nego_flag,1 表示 成 功 ,0 表示 
失败 ,默认 值 为 0) ,具体 代码 如 下 : 


final StatusBrick status-inMsg.getStatus(); 
if( (status !-null) && (status.getTrustEstablished()))( 
System.out.println("Negotiation success."); 
this.taMessage.append ("REHE IE] T "e Nn"); 
this.nego flag-1; 
) 
else( 
this .taMessage.append(" 信 任 协商 失败 了 "+"\n") 7 
System.out .Println("Negotiation failure."); 
} 


(7) 协商 结束 ,关闭 输入 、 输 出 流 及 socket. 
(1) 资 源 提供 方 的 信任 协商 功能 实现 与 请 求 方 的 功能 实现 非常 相似 , 步 又 如 下 : 根据 本 


地 证 书 类 型 .策略 类 型 及 决策 模块 等 的 配置 参数 定义 一 个 Trust 对 象 ,配置 参数 保存 在 本 地 
文件 server. properties 中 。 


final Trust server-new Trust (SERVER CONFIG); 


其 中 SERVER CONFIG 为 server. properties 的 路 径 。 

(2) 根据 协商 标志 nego_flag(1 表示 已 经 建立 了 信任 关系 ,0 表示 未 建立 信任 关系 , 默 
认 值 为 0) 判 断 是 否 要 进行 信任 协商 。 

(3) 若 需 要 进行 信任 协商 ,定义 数据 流 ,等 待 接收 请 求 方 有 关 环 境 配 置 的 消息 ,并 将 资 
源 提供 方 的 配置 告诉 请 求 方 。 部 分 代码 如 下 : 


final ObjectInputStream input = new ObjectInputStream ( clientSocket. 
getInputStream()); 

final ObjectOutputStream output = new ObjectOutputStream (clientSocket. 
getOutputStream()); 

inMsg- (TrustMessage)input.readObject(); 

outMsg-server.processInitMessage (inMsg); 


output.writeObject (outMsg); output.flush(); 


(4) 等 待 请 求 方 告知 想 要 访问 的 服务 目标 ,如 果 未 指定 访问 服务 目标 , 则 程序 报错 , 协 
商 结束 。 主 要 代码 如 下 : 


inMsg- (TrustMessage)input.readObject(); 
final NegotiationTarget target-StrategyUtils.getNegotiationTarget (inMsg); 
if(target--null)( 

System.err.println("No negotiation target supplied"); 

return; 


) 
(5) 根据 协商 服务 目标 ,进入 协商 处 理 循环 过 程 ,直到 其 中 一 方 要 求 协商 结束 。 主 要 代 
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码 如 下 : 


while(inMsg.getContinue () && outMsg.getContinue () ) 
{ // 处 理 从 客户 机 发 来 的 消息 ,将 处 理 结果 发 给 客户 机 
outMsg-server.negotiate(inMsg); 
output.writeObject (outMsg) ; 
output.flush(); 
// 如 果 协 商 继续 ,等 待 客户 机 发 送 下 一 条 消息 
if(outMsg.getContinue())( 
inMsg- (TrustMessage)input.readObject(); 
) 
) 


(6) 退出 循环 , 若 协商 成 功 ,修改 协商 标志 nego. flag. 
(7) 关闭 数据 流 和 socket 。 


6.3.4 信任 协商 功能 测试 与 分 析 


在 基于 信任 协商 的 网 络 攻防 游戏 系统 中 ,信任 协商 主要 在 3 个 部 分 得 到 具体 应 用 。 

CD 用 户 登 录 部 分 : 在 用 户 登录 过 程 中 ,传统 的 登录 方式 采用 的 是 简单 的 用 户 名 /密码 
的 验证 方式 ,一旦 用 户 名 和 密码 丢失 , 则 用 户 信息 面临 着 被 盗 的 可 能 。 将 信任 协商 融和 人 到 用 
户 登 录 过 程 中 后 ,每 次 服务 器 先 对 用 户 的 用 户 名 /密码 进行 校 验 , 如 果 符合 , 则 服务 器 根据 用 
户 要 访问 的 关卡 提供 不 同 的 策略 ,用 户 根据 策略 提交 自身 所 拥有 的 证 书 ,服务 器 再 验证 用 户 
提交 的 证 书 是 否 符合 策略 要 求 ,来 决定 是 否 允 许 用 户 访问 相应 关卡 。 

(2) 游戏 关卡 部 分 : 将 信任 协商 加 入 到 关卡 中 ,不 但 能 增强 游戏 的 趣味 性 ,同时 也 使 用 
户 对 信任 协商 这 一 新 技术 有 所 了 解 。 

G) 网 络 协同 部 分 : 在 网 络 协同 过 程 中 ,用 户 之 间 的 交流 往往 会 泄露 用 户 自身 的 敏感 
信息 ,为 用 户 带 来 安全 威胁 。 加 入 信任 协商 后 ,用 户 在 建立 协同 关系 前 , 先 要 通过 信任 协商 
对 对 方 的 身份 和 能 力 加 以 确认 ,从 而 建立 信任 关系 。 在 一 定 的 信任 关系 基础 上 进行 协同 交 
流 , 才 能 大 幅 提升 游戏 过 程 中 的 安全 性 。 

1. 登录 过 程 中 的 信任 协商 分 析 

传统 登录 方式 采用 对 用 户 的 用 户 名 /密码 校 验 的 形式 ,这 种 方式 方便 简单 ,但 一 旦 用 户 
名 和 密码 被 木马 程序 窃取 ,用 户 在 系统 中 所 拥有 的 资源 和 信息 就 面临 着 被 窃取 的 危险 。 融 
入 信任 协商 后 ,用 户 不 但 要 提供 用 户 名 /密码 ,还 要 根据 策略 提供 相应 的 证 书 以 证 明 自 己 的 
身份 和 能 力 ,这 增加 了 系统 的 安全 性 ,加 大 了 对 用 户 的 保护 力度 。 

例 6.1 甲 为 基于 信任 协商 的 网 络 攻防 游戏 的 合法 注册 用 户 , 其 在 以 往 的 过 程 中 已 经 
顺利 通过 3 个 关卡 的 测试 。 现 在 其 重新 登录 游戏 系统 , 想 要 开始 第 4 关 的 攻关 之 旅 , 服 务 器 
根据 甲 所 提交 的 访问 的 关卡 数 ,对 甲 提供 相应 的 策略 ,要 求 甲 提供 策略 中 所 涉及 的 证 书 方 能 
访问 第 4 关 。 其 具体 流程 如 图 6.5 所 示 。 
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HPR 服务 器 


Dih 请 访问 


验证 用 户 名 和 
密码 ， 根 据 积 分 
给 出 策略 


验证 证 书 


6.5 用 户 甲 登录 过 程 


甲 的 协商 过 程 如 下 : 
CD. 用 户 甲 : 提交 用 户 名 和 密码 ,申请 获得 第 3 关 的 访问 权限 。 


(2) 服务 器 : 验证 用 户 名 和 密码 ,并 查询 用 户 积分 ,根据 积分 给 出 甲 可 以 访问 第 3 关 的 


策略 P1 。 
(3) 用 户 甲 : 搜索 证 书 , 并 返回 Fl1(C1AC2AC3)。 
(4) 服务 器 : 验证 用 户 甲 传 来 的 证 书后 ,告知 协商 成 功 。 


通过 甲 和 服务 器 之 间 的 策略 和 证 书 的 交换 ,使 服务 器 对 甲 的 身份 和 能 力 有 一 个 信任 ,从 
而 允许 甲 访问 相应 关卡 。 如 果 甲 不 能 提供 服务 器 策略 要 求 的 证 书 , 则 双方 协商 失败 ,用 户 甲 


无 法 登录 游戏 并 访问 相应 关卡 的 资源 。 甲 与 服务 器 协商 的 界面 如 图 6.6 所 示 。 


HA: 出 去 
对 话 ID; 0 


y 


HARR: SEX 


图 6.6 用 户 和 服务 器 的 协商 过 程 


E E E 


在 图 6. 6 中 ,前 两 个 为 双方 配置 文件 的 传输 ,第 3 个 图 为 用 户 向 服务 器 传输 所 要 访问 的 
目标 ,第 4 个 图 为 服务 器 为 用 户 提供 的 策略 ,第 5 个 图 为 用 户 根据 policy four 的 策略 要 求 
提交 证 书 C1、.C2、C3。 图 中 的 按钮 单 击 后 显示 的 是 具体 的 策略 内 容 和 证 书 内 容 ,图 6.7 即 


为 服务 器 根据 用 户 的 访问 目标 提供 的 策略 。 


服务 器 向 用 户 Al 提供 了 一 条 名 为 four 的 策略 。 策 略 要 求 第 一 个 证 书 的 issuer 为 
Server, 所 在 地 为 China,subject 为 Al ,所 在 地 也 为 China, 并 要 求 第 一 个 证 书 的 gate 属性 为 
first, 并 将 第 一 个 证 书 设 为 一 个 根 节点 ,由 此 可 知 ,第 一 个 证 书 是 服务 器 向 用 户 Al 颁发 的 
通过 第 一 关 的 凭证 ,第 二 个 和 第 三 个 证 书 的 要 求 与 第 一 个 相似 。 当 用 户 提供 的 证 书 满足 策 
略 要 求 时 , 则 允许 用 户 访 问 资源 名 为 four 的 关卡 。 在 这 一 策略 中 ,3 个 元 策略 均 为 根 节点 ， 
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(defrule rule-four 
(credential (id ?i1) (map ?m1) 
(issuer"O-server, C- China") 
(subject"O-A1,C- China) 
(test (eq "first (?m1 get"gate")) 
(credential-chain (credentials $?c1)) 
(test (is-root ?i1 ?c1)) 


(credential (id ?i2) (map ?m2) 
(issuer"Ozserver, Cz China") 
(subject"OzA1,Cz China") 

(test (eq "second" (?m2 get"gate")) 

(credential-chain (credentials $?c2)) 

(test (is-root ?i2 ?c2)) 


(credential (id ?i3) (map ?m2) 
(issuer"Ozserver,Cz China") 
(subject"OzA1,CzChina")) 

(test (eq "third" (?m3 get"gate^)) 

(credential-chain (credentials $2c3)) 

(test (is-root ?i3 ?c3)) 


(assert (satisfaction (resource-name four) (credentials ?c1 ?c2 ?c3)))) 


1 


[ex] 


6.7 ”服务 器 向 用 户 提供 的 策略 要 求 


下 面 没有 子 节点 , 且 3 个 元 策略 之 间 的 关系 为 "并 ”, 其 结构 图 如 图 6. 


2. 协同 过 程 中 的 信任 协商 分 析 
在 P2P 模式 下 的 用 户 协同 交流 过 程 中 ,用 户 与 用 户 


8 所 示 。 


之 间 往 往 是 不 熟悉 的 ,而 在 协同 过 程 中 可 能 会 涉及 一 些 用 A 
户 所 拥有 的 敏感 信息 ,这 些 信息 不 加 以 保护 地 透露 给 陌生 for 
者 将 会 给 用 户 的 安全 性 带 来 很 大 的 风险 ,用 户 在 系统 中 所 
拥有 的 资源 面临 着 被 窃取 的 可 能 。 因 此 在 双方 建立 协同 
关系 前 通过 信任 协商 建立 信任 关系 可 以 有 效 地 保护 用 户 “ 图 68 
的 敏感 信息 不 被 恶意 用 户 窃取 。 具 体 在 本 系统 中 ,通过 对 
信任 协商 的 引入 ,一 是 可 以 确保 进行 协同 交流 的 用 户 身份 的 可 信 性 ， 
户 ,并 具有 一 定 的 能 力 ,从 而 保护 协同 交流 中 的 用 户 信息 的 安全 性 。 
对 方 的 身份 权限 ,避免 一 些 不 具 权限 的 用 户 参与 到 协同 交流 中 ,增加 


策略 Policy four 的 结构 


使 系统 授权 的 是 合法 用 
二 是 通过 信任 协商 确定 
协同 交流 过 程 的 时 间 开 


销 , 浪 费 系统 资源 。 例 6. 2 对 系统 中 用 户 协同 交流 攻关 的 过 程 进行 了 说 明 。 
例 6.2 用 户 甲 和 用 户 乙 均 到 达 第 四 关 , 且 两 人 之 前 的 积分 均 为 满分 ,第 四 关 要 求 两 用 
户 分 别 得 到 由 系统 随机 生成 的 1000 和 1500 以 内 的 素数 ,两 个 素数 和 为 通关 密码 。 


这 一 过 程 的 具体 流程 如 图 6. 9 所 示 。 
关卡 4 的 协商 过 程 如 下 : 


(1) 用 户 甲 : 向 用 户 乙 提出 申请 ,请 求 建 立 协同 管道 ,并 提交 自己 的 积分 。 
(2) HIP Zi 根据 甲 的 积分 ,返回 建立 沟通 的 策略 要 求 PASCFACCITAC2A C3A C) ,并 


提供 自身 积分 。 
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用 户 甲 用 户 乙 APR. Z 服务 器 


Ormia: 
甲乙 双 
方 交换 
信息 和 
证 书 @ 分 别 向 服务 器 传递 结果 
@ 返 回 PFCIACZAC3A 人 C) eps 
E rss en (QDiRBIF Ci AC, ) 


加 交换 信息 及 证 书 


(a) 用 户 间 交 流 (b) 用 户 与 服务 器 间 交 流 
6.9 关卡 4 协商 过 程 


(3) 用 户 甲 : 返回 Credential Chain (C1 A C2 A C3 A CD ,并 根据 乙 的 积分 提出 策略 
PA«FA(CIAC2AC3A CD, 

(4) 用 户 乙 : 验证 甲 所 提交 的 证 书 , 返 回 Credential Chain(C1 A C2A C3A CD 。 

(5) 用 户 甲 : 验证 乙 所 提交 的 证 书 。 

(6) 双方 协商 成 功 ,沟通 后 决定 由 甲 获取 1000 以 内 的 素数 ,由 乙 获取 1500 以 内 的 
素数 。 

(7) 甲乙 双方 分 别 向 服务 器 发 出 请 求 。 

(8) 服务 器 随机 产生 1000 以 内 的 素数 和 1500 以 内 的 素数 ,分 别 告 知 甲 和 乙 , 并 为 他 们 
发 放 含 有 这 两 个 数 属性 值 的 数字 证 书 Cn 和 Cz 。 

(9) 甲 和 乙 分 别 告 知 对 方 自己 所 拥有 的 数值 ,并 交换 数字 证 书 Cn 和 Cz 。 

(10) 甲 和 乙 分 别 向 服务 器 提交 两 数 和 。 

(OD 服务 器 对 甲 和 乙 分 别提 出 访问 第 5 关 权 限 的 策略 Pes Fes (Cn A Cz )。 

(12) 甲 和 乙 分 别提 交 自 身 证 书 Credential Chain(Ce A Cz). 

(13) 服务 器 验证 两 用 户 提交 的 证 书 , 并 根据 证 书 的 属性 值 的 和 验证 双方 提交 的 素数 和 
是 否 正确 。 若 正确 , 则 向 两 人 发 送 第 5 关 的 权限 证 书 Co. 

(14) 双方 通关 成 功 。 

这 里 C1,C2,C3, C4 和 C5 分 别 代表 1 一 5 关 的 访问 权限 证 书 ,Ce 和 Cz 分 别 代表 由 服 
务 器 发 放 给 甲 和 乙 的 含有 所 选 随机 数 属 性 值 的 证 书 。 

协同 过 程 中 的 信任 协商 与 用 户 登录 过 程 中 的 信任 协商 很 相似 。 不 同 的 是 ,用 户 登 录 过 
程 中 的 信任 协商 强调 的 是 用 户 与 服务 器 之 间 的 交流 ,而 协同 过 程 中 的 信任 协商 则 是 用 户 与 
用 户 之 间 的 交流 ,其 更 具 代 表 性 。 同 时 用 户 与 用 户 之 间 的 协同 交流 过 程 中 可 能 会 涉及 一 些 
敏感 证 书 , 这 时 可 以 通过 策略 对 敏感 证 书 进 行 保 护 。 例 如 ,在 例 6. 2 中 , 甲 所 拥有 的 关卡 证 
书 是 敏感 的 ,需要 乙 根 据 敏 感 证 书 保护 策略 提交 证 书后 甲 才 会 将 敏感 证 书 提交 给 乙 。 其 在 
系统 中 的 过 程 如 图 6.10 所 示 。 
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方向 : 出 去 


" HA: 出 去 JM: 进入 方向 : 出 去 
$9 c2 会 会 话 ID:0 会 话 ID. 0 会 话 ID:0 


策略 策略 


协商 目标 : chat_x policy chat x | poligy.Cl x | 


Jil]: 进入 
会 话 ID: 0 


方向 : 出 去 
会 话 ID: 0 


证 书 序 列 证 书 序列 
ka -a a - Lec LRL 


6. 10 协同 过 程 中 的 信任 协商 


甲 向 乙 提 出 建立 协同 关系 的 请 求 , 这 里 协同 关系 是 一 个 chat x 的 抽象 资源 。 乙 根据 甲 
访问 的 资源 向 甲 提供 策略 , 乙 提 出 的 策略 中 涉及 的 C1 证 书 是 甲 的 敏感 证 书 , 甲 向 乙 返回 一 
个 敏感 证 书 的 保护 策略 。 乙 根据 该 策略 向 甲 提交 证 书 链 , 即 第 1~4 关 的 证 书 , 甲 验 证 后 向 
乙 提供 第 1 一 4 关 的 证 书 链 。 此 处 的 证 书 构造 方式 与 例 6. 1 tile 第 1 关 的 证 书 是 根 节 
点 ,第 2 关 和 第 3 关 的 证 书 为 中 间 节 点 ,第 4 关 为 叶子 节点 ,其 结构 如 图 6. 11 Bron 


S0000 


图 6.11 协同 信任 协商 中 的 证 书 结构 图 


6.4 本 章 小 结 


本 章 主要 讨论 使 用 信任 协商 技术 解决 P2P 网 络 安全 问题 。 首 先 , 介 绍 了 PP 网 络 的 基 
本 概念 ,分 析 了 P2P 网 络 面临 的 安全 问题 以 及 P2P 网 络 信任 问题 的 特点 。 然 后 ,着 重 设计 
并 分 析 了 一 种 P2P 网 络 信任 协商 系统 NetTrust。NetTrust 是 一 种 基于 信任 协商 的 网 络 协 
同 攻防 游戏 系统 ,本章 详 细 阐 述 了 该 系统 的 需求 分 析 、 系 统 设 计 和 实现 技术 ,并 通过 实例 对 
系统 的 信任 协商 功能 进行 了 测试 分 析 ,结果 表明 ,将 信任 协商 融入 P2P 网 络 聊天 中 ,可 降低 
敏感 信息 泄露 给 非 授 权 用 户 的 风险 。 
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网 格 计算 ,作为 近年 来 兴起 的 下 一 代 网 络 计算 技 术 ,是 解决 一 些 大 型 的 计算 密集 型 或 数 
据 密 集 型 科学 计算 的 有 效 手 段 。 与 传统 网 络 应 用 相 比 ,网 格 计算 环境 具有 大 规模 、 分 布 、. 异 
构 动态 .可 扩展 等 特性 ,因此 它 提出 了 更 高 .更 广泛 的 安全 需求 。 传 统 的 安全 技术 和 手段 ， 
尤其 是 安全 授权 机 制 , 如 访问 控制 列表 (ACL) 和 一 些 传统 的 公 钥 证 书 体系 (PKI) 等 ,不 再 适 
用 于 解决 网 格 安全 问题 。 

目前 ,关于 网 格 安全 解决 方案 的 研究 成 果 还 不 多 ,较为 有 影响 的 是 Globus Toolkit 提供 
的 网 格 安全 工具 一 一 GSI(Globus Security Infrastructure), GSI 基于 传统 的 PKI 技术 ,并 
通过 使 用 代理 证 书 ,在 一 定 程度 上 解决 了 单一 登录 和 委托 等 网 格 安 全 问题 。 然 而 ,GSI 在 授 
权 的 灵活 性 和 可 扩展 性 方面 还 有 很 大 的 不 足 。 因 此 ,网 格 安全 问题 的 解决 ,还 需要 新 的 安全 
思想 和 方法 。 本 章 在 全 面 分 析 网 格 安全 需求 的 基础 上 ,基于 信任 和 信任 管理 的 思想 方法 深 
人 探讨 网 格 安全 解决 方案 。 


7.1 网 格 计算 概述 


网 格 计算 (Grid Computing) 是 近年 来 国际 上 兴起 的 一 种 重要 的 信息 技术 。 它 的 目标 是 
将 地 理 上 广泛 分 布 .系统 异 构 的 各 种 计算 资源 全 面 整合 在 一 起 .实现 网 络 虚拟 环境 下 的 高 性 
能 资源 共享 和 协同 工作 。 本 节 概 要 地 介绍 网 格 的 基本 概念 ,体系 结 构 和 关键 技术 。 


l. 网 格 的 基本 概念 

什么 叫 网 格 ? 简单 地 讲 , 网 格 是 一 种 把 地 理 上 广泛 分 布 的 各 种 计算 资源 (各 类 计算 机 、 
存储 系统 IO 设备 .通信 系统 ,文件 .数据库 和 程序 等 ) 全 面 整 合 在 一 起 的 技术 ,其 目的 是 为 
了 向 用 户 提供 相对 透明 的 高 性 能 计算 环境 ,并 实现 计算 资源 .存储 资源 .通信 资源 、 信 息 资 源 
和 知识 资源 的 全 面 共 享 。 许 多 人 将 网 格 计算 定义 为 一 个 广 域 范围 的 “无 颖 的 集成 和 协同 计 

Ian Foster 是 美国 Globus 网 格 项 目的 领导 人 之 一 ,他 这 样 描述 网 格 "] :“ 网 格 是 构筑 在 
互联 网 上 的 一 组 新 兴 技 术 , 它 将 高 速 互联 网 .计算 机 、 大 型 数据 库 、 传 感 器 和 远程 设备 等 融 为 
一 体 ,为 科技 人 员 和 普通 老百姓 提供 更 多 的 资源 、 功 能 和 服务 。 传 统 的 互联 网 技术 主要 为 人 
们 提供 电子 邮件 、 网 页 浏览 等 通信 功能 ,而 网 格 的 功能 则 更 多 更 强 , 它 能 让 人 们 共享 计算 、 存 
储 和 其 他 资源 。” 

通俗 地 说 ,网 格 计算 的 基本 思想 ,就 是 像 人 们 在 日 常生 活 中 从 电网 中 获取 电能 一 样 获取 
高 性 能 计算 能 力 。 几 乎 不 会 有 人 在 打开 电灯 的 时 候 考 虑 电 是 从 哪个 电站 来 的 。 但 是 ,目前 
人 们 从 传统 的 Internet 获取 信息 时 ,必须 告诉 计算 机 去 访问 某 一 个 网 站 ,这 就 好 比 我 们 在 打 
开 电 灯 的 开关 时 必须 告诉 它 我 们 需要 某 一 电站 来 的 电 一 样 笨拙 。 网 格 的 目标 就 是 让 人 们 使 
用 网 络 资源 像 用 电 一 样 简单 。 
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从 本 质 上 说 ,网 格 计算 需要 解决 的 问题 是 如 何在 动态 、 异 构 的 虚拟 组 织 间 实现 资源 共享 
以 及 协同 地 解决 某 一 问题 。 下 面 对 其 中 包含 的 几 个 概念 进行 解释 。 

1) 虚拟 组 织 

所 谓 虚拟 组 织 ,是 由 遵守 资源 共享 规则 的 一 组 个 体 和 机 构 组 成 ,虚拟 组 织 的 典型 例子 有 
应 用 服务 提供 商 、 存 储 服务 提供 商 、 企 业 及 企业 所 采用 的 应 用 所 构成 的 系统 等 。 虚 拟 组 织 的 
动态 性 是 指 组 织 结构 、 对 外 交互 .管理 模式 及 业务 模式 等 是 随时 间 变 化 的 ;虚拟 组 织 的 异 构 
性 是 指 各 组 织 在 目标 、 结 构 、 规 模 、 管 理 和 运行 模式 等 方面 是 不 同 的 。 

2) 资源 

在 网 格 中 的 资源 包括 各 类 计算 设备 .存储 设备 .I/O 设备 .通信 系统 ,文件 数据库、 程 
序 、 信 息 和 知识 ,以 及 天 文 望远镜 加速器 、 雷 达 和 家 用 电器 等 仪器 ,并 具有 面向 用 户 和 透明 
性 的 特点 ,用 户 可 以 在 不 考虑 资源 物理 位 置 的 情况 下 ,方便 地 使 用 资源 。 此 外 ,资源 也 具有 
动态 变化 的 特性 。 

3) 共享 

共享 与 以 往 所 说 的 共享 已 有 很 大 不 同 , 它 是 在 更 深 程度 上 的 共享 ,更 具 目 的 性 。 它 已 经 
不 再 是 简单 的 资源 互 连 和 单一 使 用 ,而 是 通过 互 连 、 组 合 和 协作 解决 用 户 需要 解决 的 问题 ， 
产生 具有 附加 值 的 新 服务 .数据 和 信息 等 资源 ,满足 用 户 的 新 需求 。 

4) 协同 性 

协同 性 包括 资源 共享 的 协同 性 和 问题 解决 的 协同 性 。 资 源 共 享 的 协同 性 以 资源 互 连 为 
基础 , 既 包 括 资源 使 用 时 不 同 用 户 因 时 间 、 空 间 和 权限 等 差异 引起 的 协商 ,也 包括 资源 的 组 
合 。 问 题解 决 的 协同 性 是 指 虚拟 组 织 之 间 通 过 协作 共同 解决 某 一 问题 ,以 满足 用 户 的 新 

最 “正统 ”的 网 格 研究 起 源 于 美国 政府 过 去 十 年 来 资助 的 高 性 能 计算 科研 项 目 , 以 及 欧 
洲 一 些 团体 进行 的 高 性 能 计算 项 目 。 这 类 研究 的 目标 是 将 跨 地 域 的 多 台 高 性 能 计算 机 、 大 
型 数据 库 、 贵 重 科研 设备 (电子 显微镜 、 雷 达 阵 列 、 粒 子 加 速 器 和 天 文 望 远 镜 等 )、 通 信 设 备 、 
可 视 化 设备 和 各 种 传感器 等 整合 成 一 个 巨大 的 超级 计算 机 系统 ,支持 科学 计算 和 科学 研究 。 
这 方面 的 代表 性 研究 工作 包括 美国 国家 科学 基金 会 资助 的 NPACI、 国 家 技术 网 格 (NTG )、 
分 布 式 万 亿 次 级 计算 设施 (DTF), 美 国 能 源 部 的 ASCI Grid, 以 及 欧盟 的 Data Grid 等 。 

由 于 网 格 是 一 种 新 技术 ,因此 ,目前 它 的 精确 含义 和 内 容 还 没有 固定 ,而 是 在 不 断 变化 ， 
并 且 不 同 的 群体 可 能 会 用 不 同 的 名 词 来 称呼 它 。 有 人 把 网 格 看 成 是 未 来 的 互联 网 技术 。 国 
外 一 些 媒 体 也 经 常用 “下 一 代 Internet" “Internet 2” 或 “下 一 代 Web” 等 词语 来 称呼 与 网 格 
相关 的 技术 。 目 前 许多 专家 认为 ,网 格 实际 上 是 继 传统 Internet 和 Web 之 后 的 第 三 次 网 络 
技术 大 浪潮 ,可 以 称 之 为 第 三 代 Internet。 简 单 地 讲 ,传统 Internet 实现 了 计算 机 硬件 的 连 
3B .Web 实现 了 网 页 的 连通 ,而 网 格 试图 实现 互联 网 上 所 有 资源 的 全 面 连通 ,包括 计算 资 
源 、 存 储 资 源 . 通 信 资 源 、 软 件 资源 .信息 资源 和 知识 资源 等 。 

还 有 一 类 与 网 格 相关 的 研究 项 目 , 其 侧重 点 是 智能 信息 处 理 , 它 关注 的 是 如 何 消除 信息 
孤岛 和 知识 孤岛 ,实现 信息 资源 和 知识 资源 的 智能 共享 ,常见 的 名 词 包括 语义 网 (semantic 
web) ANRH (knowledge management)、 知 识 本 体 (ontology) 、 智 能 主体 (agent) 信息 网 
格 .知识 网 格 和 一 体 化 智能 信息 平台 等 。 

目前 ,企业 界 出 现 的 许多 概念 和 名 词 都 与 网 格 相关 ,包括 内 容 分 发 (contents delivery), 
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服务 分 发 (service delivery) .电子 服务 (erservice)、 实 时 企业 计算 (Real-Time Enterprise 
Computing. RTEC) , 4) ffi X iT H , Peer-to-Peer Computing (简称 P2P) 和 Web 服务 (Web 
Services) 等 。 这 些 名 词 所 代表 的 技术 有 一 个 共同 点 ,即将 Internet. 上 的 资源 整合 成 一 台 超 
级 服务 器 ,有 效 地 提供 内 容 服务 .计算 服务 .存储 服务 和 交易 服务 等 。 另 一 个 共同 点 是 这 些 
技术 会 尽量 利用 现 有 的 Internet/Web 技术 。 


2. 网 格 的 体系 结构 

1) 网 格 系统 的 基本 构成 

网 格 系统 可 以 分 为 3 个 基本 层次 : 资源 层 、 中 间 件 层 和 应 用 层 。 

网 格 资源 层 是 构成 网 格 系统 的 硬件 基础 , 它 包括 各 种 计算 资源 ,如 超级 计算 机 、 贵 重 仪 
器 .可 视 化 设备 和 现 有 应 用 软件 等 ,这 些 计算 资 源 通过 高 速 网 络 通信 设备 连接 起 来 。 网 格 资 
源 层 仅仅 实现 了 计算 资源 在 物理 上 的 连通 ,但 从 逻辑 上 看 ,这 些 资源 仍然 是 孤立 的 ,资源 共 
享 问题 仍然 没有 得 到 解决 。 因 此 ,必须 在 网 格 资源 层 的 基础 上 通过 网 格 中 间 件 层 来 完成 广 
域 计算 资源 的 有 效 共享 。 

网 格 中 间 件 层 是 指 一 系列 工具 和 协议 软件 ,其 功能 是 屏蔽 网 格 资源 层 中 计算 资源 的 分 
布 . 异 构 特 性 ,向 网 格 应 用 层 提 供 透 明 .一 致 的 使 用 接口 。 网 格 中 间 件 层 也 称 为 网 格 操作 系 
统 (grid operating system) , 它 同 时 需要 提供 用 户 编程 接口 和 相应 的 环境 ,以 支持 网 格 应 用 
的 开发 。 

网 格 应 用 层 是 用 户 需 求 的 具体 体现 。 在 网 格 操作 系统 的 支持 下 ,网 格 用户 可 以 使 用 其 
提供 的 工具 或 环境 开发 各 种 应 用 系统 。 能 否 在 网 格 系统 上 开发 应 用 系统 以 解决 各 种 大 型 计 
算 问 题 是 衡量 网 格 系统 优 劣 的 关键 。 

2) 网 格 协议 体系 结构 

在 图 7.1 给 出 了 美国 著名 网 格 计算 研究 项 目 Globus 提出 的 网 格 协议 体系 结构 模型 。 


Application 
Application 
Collective 
Resource 
Connectivity | Rott 
Internet 
Fabric Link 
(a) 网 格 协议 体系 结构 (b) Internet 协 议 体系 结构 


7.1 网 格 协议 结构 与 Internet 协议 结构 的 关系 


Globus 提出 的 网 格 协 议 模型 充分 参照 了 Internet 协议 模型 ,并 以 Internet 协议 中 的 通 
信 、 路 由 和 名 字 解 析 等 功能 为 基础 。Globus 提出 的 网 格 协议 结构 分 为 5 层 : 构造 层 、 连 接 
层 , 资 源 层 . 汇 集 层 和 应 用 层 。 每 层 都 有 自己 的 服务 .API 和 SDK, 上 层 协 议 调 用 下 层 协议 
的 服务 。 
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CD 构造 层 (Fabric) : 功能 是 向 上 提供 网 格 中 可 供 共享 的 资源 ,它们 是 物理 或 逻辑 实 
体 。 常 用 的 资源 包括 处 理 能 力 .存储 系统 、 目 录 、 网 格 资源 、 分 布 式 文件 系统 、 分 布 式 计算 机 
池 和 计算 机 集群 等 。Globus 提供 的 网 格 计 算 工具 软件 包 Toolkit 中 的 相应 组 件 负责 检测 可 
用 的 软 硬 件 资源 的 特性 、 当 前 负荷 和 状态 等 信息 ,并 将 其 打包 供 上 层 协议 调用 。 

(2) I% (Connectivity): 是 网 格 中 网 络 事务 处 理 通 信和 与 授权 控制 的 核心 协议 。 构 造 
层 提交 的 各 种 资源 间 的 数据 交换 都 在 这 一 层 的 控制 下 实现 。 各 资源 间 的 授权 验证 和 安全 控 
制 也 在 这 里 实现 。 在 Globus 的 Toolkit 中 ,安全 组 件 GSI 提供 单一 登录 委托 .兼容 不 同 的 
本 地 安全 方案 、 基 于 用 户 的 信任 关系 等 功能 。 资 源 间 的 数据 交换 通过 传输 、 路 由 及 名 字 解 析 
实现 。 

(3) 资源 层 (Resource): 作用 是 对 单个 资源 实施 控制 ,与 可 用 资源 进行 安全 握手 ,对 资 
源 做 初始 化 ,监测 资源 运行 状况 ,统计 与 付费 有 关 的 资源 使 用 数据 。 在 Globus 提供 的 
Toolkit 中 有 一 系列 组 件 用 来 实现 资源 注册 ,资源 分 配 和 资源 监视 。Toolkit 还 在 这 一 层 定 
义 了 客户 端的 C 语言 和 Java 的 API 和 SDK。 

(4) ERE Collective); 作用 是 将 资源 层 提交 的 受 控 资源 汇集 在 一 起 , 供 虚拟 组 织 的 
应 用 程序 共享 和 调用 。 为 了 对 来 自 应 用 的 共享 进行 管理 和 控制 ,汇集 层 提 供 目录 服务 .资源 
分 配 日程 安排 .资源 代理 .资源 监测 诊断 、 网 格 启动 .负荷 控制 和 账户 管理 等 多 种 功能 。 

(5) 应 用 层 (Application) : 是 网 格 上 用 户 的 应 用 程序 。 应 用 程序 通过 各 层 的 API 调用 
相应 的 服务 ,再 通过 服务 调用 网 格 上 的 资源 来 完成 任务 。 应 用 程序 的 开发 涉及 大 量 库 函数 。 
为 便于 网 格 应 用 程序 的 开发 ,需要 构建 支持 网 格 计算 的 库 函 数 。 


3. 网 格 的 关键 技术 

目前 ,网 格 计算 的 研究 主要 包括 下 面 几 个 方面 的 内 容 。 

1) 网 格 的 体系 结 

从 第 一 台 计 算 机 出 现 到 现在 ,计算 机 体系 结构 已 经 发 生 了 一 系列 变化 ,经 历 了 大 规模 并 
行 处 理 系统 .共享 存储 型 多 处 理 器 系统 、 群 集 系统 等 各 个 发 展 阶段 ,这 些 系 统 的 共性 是 构成 
系统 的 资源 相对 集中 。 与 此 相反 的 是 ,组 成 网 格 系统 的 资源 是 广 域 分 散 的 ,不 再 局 限于 单 台 
计算 机 和 小 规模 局 域 网 范围 内 。 网 格 计算 的 目标 是 将 地 理 上 广泛 分 布 的 各 种 计算 资源 整合 
起 来 构成 一 台 虚 拟 的 超级 计算 机 ,因此 ,网 格 系统 的 体系 结构 是 需要 首先 研究 的 问题 。 简 言 
之 ,网 格 系统 有 哪些 组 成 部 分 、 组 成 部 分 之 间 的 关系 以 及 如 何 协同 工作 是 网 格 体系 结构 研究 
需要 解决 的 问题 。 

2) 网 格 的 操作 系统 

伴随 着 计算 机 体系 结构 的 发 展 , 计 算 机 操作 系统 也 经 历 了 一 系列 发 展 变化 ,总 的 发 展 趋 
势 是 如 何 更 高 效 、. 更 合理 地 使 用 计算 机 资源 。 网 格 操作 系统 是 网 格 系统 资源 的 管理 者 , 它 所 
管理 的 是 广 域 分 布 .动态 、 异 构 的 资源 , 现 有 操作 系统 显然 无 法 满足 这 一 需求 。 

3) 网 格 的 使 用 模式 

网 格 使 用 模式 解决 的 是 如 何 使 用 网 格 高 性 能 计算 环境 的 问题 。 在 现 有 的 操作 系统 上 ， 
计算 机 用 户 可 以 使 用 各 种 软件 工具 来 完成 各 种 任务 。 而 在 网 格 环境 下 ,用 户 可 能 需要 通过 
新 的 方式 来 利用 网 格 系统 资源 。 因 此 ,在 网 格 操作 系统 上 设计 开发 各 种 工具 和 应 用 软件 是 
网 格 使 用 模式 研究 需要 解决 的 关键 问题 。 

在 这 些 研究 内 容 中 ,需要 解决 下 面 一 些 关 键 技术 问题 。 
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(1) 网 格 资源 的 管理 。 

网 格 环境 包含 各 种 各 样 的 资源 ,这 些 资 源 具 有 动态 变化 、 地 域 分 布 、 系 统 异 构 等 特性 。 
在 网 格 计算 中 ,首先 需要 查 清 网 格 里 所 有 可 用 资源 ,比如 哪些 主机 可 供 访 问 、 还 空置 多 少 处 
理 能 力 、 数 据 库 里 可 供 使 用 的 数据 是 什么 、 共 享 的 应 用 程序 是 否 已 准备 好 、 共 享 主机 采用 何 
种 文件 系统 等 。 资 源 管理 的 目的 就 是 解决 资源 的 描述 、 组 织 和 管理 等 一 系列 关键 问题 。 

(2) 任务 的 调度 与 管理 。 

用 户 提 交 的 任务 要 由 系统 来 分 配 资源 并 控制 其 运行 ,包括 要 将 其 分 配 到 哪些 主机 上 运 
行 、 调 用 哪些 数据 、 启 动 何 种 应 用 程序 、 何 时 开始 运行 等 。 任 务 调度 与 管理 的 作用 就 是 根据 
当前 系统 负载 状况 ,对 系统 内 的 任务 进行 动态 调度 ,其 调度 算法 及 调度 过 程 设 计 的 好 坏 对 系 
统 效率 的 高 低 起 着 至 关 重 要 的 作用 。 

(3) 网 格 安全 技术 。 

网 格 是 通过 开放 的 网 络 环境 向 用 户 提 供 服 务 的 ,因此 它 不 可 避免 地 要 涉及 网 络 安全 问 
题 。 并 且 ,与 传统 网 络 应 用 相 比 ,网 格 的 目标 是 实现 更 大 范围 和 更 深层 次 的 资源 共享 ,所 以 
它 存 在 更 重要 的 安全 问题 ,并 提出 了 更 高 的 安全 需求 。 由 于 网 格 系统 一 般 规 模 大 、 牵 涉 面 
广 , 并 且 拥有 超 强 的 计算 能 力 , 因 此 ,与 传统 的 网 络 入 侵 活 动 相 比 ,如 果 网 格 系统 一 旦 遭 到 攻 
击破 坏 , 或 者 被 非法 利用 ,其 潜在 的 损失 更 大 ,潜在 的 危害 更 严重 。 

与 传统 网 络 环境 相 比 ,网 格 计算 环 境 极其 复杂 ,具有 大 规模 、 分 布 、 异 构 、 动 态 、 可 扩展 等 
特性 ,因此 与 传统 的 网 络 安全 相 比 ,网 格 安全 所 涉及 的 范围 更 广 ,解决 方案 也 更 加 复杂 。 

(4) 网 格 监测 工具 。 

为 了 管理 和 维护 复杂 的 网 格 环境 ,需要 提供 监视 系统 资源 和 系统 运行 情况 的 工具 , 即 网 
格 监测 工具 。 网 格 监测 工具 可 以 监视 系统 的 运行 状态 ,并 提供 性 能 分 析 等 功能 。 

(5) 编程 工具 和 图 形 用 户 界面 。 

网 格 系统 应 该 能 提供 丰富 的 用 户 接 口 和 编程 环境 。 通 过 直观 友好 的 用 户 访问 接口 ,使 
用 户 可 以 在 任何 位 置 ,任何 平台 上 方便 地 使 用 系统 资源 。 另 外 ,网 格 计算 的 主要 领域 是 科学 
计算 , 它 往 往 伴 随 着 海量 的 数据 , 面 对 浩 如 烟 海 的 数据 , 想 通 过 人 工分 析 得 出 正确 的 判断 十 
分 困难 。 如 果 把 计算 结果 转换 成 直观 的 图 形 信息 ,就 能 帮助 研究 人 员 摆 脱 理解 数据 的 困难 。 

(6) 高 速 网 络 系统 。 

高 速 网 络 系统 是 在 网 格 计算 环境 中 提供 高 性 能 通信 的 必要 手段 。 通 信和 能力 的 好 坏 对 网 
格 计 算 提供 的 性 能 影响 甚大 ,要 做 到 计算 能 力 “ 即 连 即 用 ”. 必 须 有 高 质量 的 宽带 高 速 网 络 系 
统 支持 。 用 户 要 获得 延迟 小 .可 靠 的 通信 服务 也 离 不 开 高 速 的 网 络 。 


7.2 网 格 安全 需求 


图 7.2 给 出 了 网 格 环境 下 一 个 简单 的 计算 示例 。 假 设 一 个 物理 学 家 (P) 在 一 个 国际 合 
作 团 体 中 进行 科学 研究 。 他 收 到 同事 的 一 封 关于 新 的 实验 数据 讨论 的 邮件 ,然后 他 登录 到 
自己 所 在 的 站 点 A 中 的 一 台 服 务 器 S1 上 启动 一 个 用 户 代理 程序 ( 步 又 中 ) ,该 用 户 代理 程 
序 代 表 他 运行 一 个 物理 分 析 程 序 , 而 这 个 物理 分 析 程序 需要 通过 远程 服务 器 S2 访问 存储 在 
站 点 B 中 的 一 些 数据 (步骤 @) 。 在 物理 分 析 程 序 运行 过 程 中 ,为 了 比较 实验 结果 与 预期 的 
结果 , 它 需要 启动 站 点 C 中 服务 器 S3 上 的 一 个 用 于 物理 模拟 的 程序 (步骤 回 ) ,而 该 物理 模 
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拟 程序 运行 过 程 中 需要 访问 存放 在 另 一 个 站 点 (D) 上 的 一 些 参 数值 (步骤 @)。 并 且 , 假 定 
物理 分 析 程 序 的 整个 运行 过 程 所 需要 的 时 间 比 较 长 ,难以 要 求 物 理学 家 了 一 直 守 候 在 服务 
器 前 等 待 分 析 结果 出 来 。 


Kerberos 


公 钥 证 书 
用 户 C1, 用 户 C2,… 


SSH 
用 户 E1, 用 户 E2, 用 户 E3,… 


7.2 网 格 环境 下 的 一 个 计算 示例 


上 述 示例 虽然 还 不 能 反映 网 格 计算 的 所 有 特征 ,但 基本 上 说 明了 网 格 计算 环境 的 以 下 
关键 特点 : 

CD. 资源 数量 巨大 ,并 且 是 广泛 分 布 . 异 构 和 动态 变化 的 。 

(2) 用 户 数量 巨大 ,并 且 是 动态 变化 的 。 

(3) 一 个 计算 (或 由 计算 创建 的 进程 ) 可 能 在 它 的 运行 期 间 动 态 地 要 求 使 用 或 释放 资 
源 , 并 可 能 需要 动态 地 创建 许多 不 同 的 进程 。 

CD 不 同 的 资源 可 能 要 求 不 同 的 认证 和 授权 机 制 。 在 图 7. 2 的 示例 中 ,不 同 的 站 点 实 
施 了 不 同 的 本 地 访问 控制 机 制 。 站 点 也 采用 了 Kerberos' 站 点 C 采 用 了 公 钥 证 书 , 站 点 D 
使 用 了 SSH. 

(5) 网 格 环境 下 的 资源 和 用 户 可 能 分 布 在 不 同 的 国家 和 机 构 里 ,因而 可 能 会 受到 不 同 
法 律 和 政策 的 管制 。 

因此 ,与 传统 的 网 络 安全 问题 相 比 , 网 格 环境 下 的 安全 问题 更 加 复杂 ,提出 了 更 高 .更 广 
泛 的 安全 需求 ,其 中 在 认证 和 授权 方面 具有 以 下 要 求 。 

CD 单一 登录 。 用 户 只 需 在 开始 启动 计算 时 进行 一 次 “登录 ”( 身 份 认证 ) ,然后 就 可 以 
在 无 须 进一步 干预 的 情况 下 访问 任何 被 授权 可 访问 的 资源 , 即 在 计算 过 程 中 获得 资源 、 使 用 
资源 和 释放 资源 ,在 内 部 通信 时 无 须 对 用 户 进行 再 次 认证 。 

(2) 委托 。 一 个 用 户 能 够 授予 一 个 进程 代表 自己 身份 的 权利 ,以 便 该 进程 可 以 访问 用 
户 被 授权 的 资源 。 另 外 ,如 果 需 要 的 话 , 该 进程 也 可 以 进一步 委托 另 一 个 进程 。 

G) 受 限 委托 。 为 了 减少 委托 凭证 被 破解 或 盗用 的 风险 ,应 该 能 限制 由 委托 关系 继承 
来 的 权利 的 使 用 。 
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(4) 可 兼容 不 同 的 本 地 安全 方案 。 网 格 环境 中 的 每 个 站 点 或 资源 提供 者 可 能 实施 了 不 
同 的 本 地 安全 方案 。 整 体 的 网 格 安全 解决 方案 应 该 能 兼容 这 些 不 同 的 本 地 解决 方案 ,而 不 
能 要 求 改变 本 地 安全 方案 。 

C) 基于 用 户 的 信任 关系 。 为 了 便于 用 户 在 计算 过 程 中 同时 使 用 多 个 资源 提供 者 提供 
的 资源 ,网 格 安全 方案 在 配置 安全 环境 时 不 应 该 要 求 各 个 资源 提供 者 彼此 之 间 两 两 交互 和 
协商 的 过 程 。 换 句 话 说 ,如 果 一 个 用 户 有 权利 访问 站 点 A 和 B 上 的 资源 ,那么 ,在 无 须 站 点 
A 和 B 的 管理 员 之 间 进行 交互 和 协商 的 情况 下 ,这 个 用 户 就 可 以 同时 使 用 站 点 A 和 B 上 的 
资源 。 


7.3 一 种 基于 多 种 证 书 的 网 格 认证 与 授权 系统 


目前 ,关于 网 格 安全 解决 方案 的 研究 成 果 还 不 多 , 较 有 影响 的 是 Globus Toolkit 提供 的 
网 格 安全 工具 一 一 GSI(Globus Security Infrastructure) 。GSI 引 入 了 用 户 代 理 和 资源 代理 
等 概念 ,并 定义 了 4 种 安全 操作 协议 (用 户 代理 创建 协议 .资源 分 配 协议 .进程 资源 分 配 协议 
和 映射 注册 协议 ) 。 它 在 PKI 技术 的 基础 上 通过 使 用 代理 证 书 ,在 一 定 程度 上 解决 了 单一 
登录 .委托 等 网 格 环境 下 的 安全 需求 。 但 是 ,GSI 方案 在 授权 的 灵活 性 和 可 扩展 性 方面 还 有 
很 大 的 不 足 , 它 缺乏 具有 高 可 扩展 性 的 授权 机 制 。 在 Globus Toolkit version 1 (GT1) 中 提 
供 的 GSI 方 案 , 要 求 每 一 个 访问 资源 的 全 局 用 户 都 需要 在 本 地 资源 服务 器 上 拥有 一 个 自己 
的 账号 ,每 一 个 资源 服务 器 都 需要 维护 一 个 庞大 、 策 拙 的 全 局 /本 地 映射 表 , 因 此 这 种 授权 机 
制 难以 扩展 到 拥有 大 量 资源 和 大 量 用 户 的 大 规模 应 用 环境 中 。 在 GT2 中 提供 的 GSI 方案 ， 
通过 添加 CAS 功能 ,部 分 解决 了 网 格 授权 的 一 些 问题 。Globus 在 最 近 推 出 的 GT3 中 的 安 
全 方案 GSI3 ,增添 了 一 些 Web 服务 的 安全 机 制 , 以 适应 OGSA 架构 的 要 求 。 

下 面 在 GSI 的 基础 上 阐述 一 种 新 的 基于 多 种 证 书 的 网 格 认 证 与 授权 系统 一 一 
CertGSI, 它 通过 灵活 使 用 标识 证 书 、 属 性 证 书 和 代理 证 书 等 多 种 不 同 用 途 的 数字 证 书 , 不 但 
可 以 满足 网 格 环境 下 各 种 基本 的 安全 需求 ,而 且 能 提供 具有 良好 可 扩展 性 的 灵活 的 认证 、 授 
权 及 访问 控制 机 制 。 


7.3.1 若干 术语 与 定义 


为 了 便于 讨论 和 描述 ,首先 约定 一 些 相 关 的 术语 。 

(1) 主体 : 是 安全 操作 中 的 一 个 参与 者 。 在 网 格 系统 中 ,一 个 主体 通常 是 一 个 用 户 一 
个 代表 用 户 的 进程 一 个 资源 (一 台 计算 机 或 一 个 文件 ) 或 者 一 个 代表 资源 的 进程 。 

(2) 客体 : 是 被 安全 策略 保护 的 一 个 资源 。 

CD 凭证 : 是 用 于 证 明 主体 身份 的 一 些 信息 。 口 令 和 证 书 就 是 凭证 的 例子 。 

OD 认证 : 是 主体 向 请 求 者 证 明 自 己 身 份 的 过 程 ,通常 需要 凭证 进行 认证 。 

(5) 授权 : 是 决定 是 否 允 许 一 个 主体 访问 或 使 用 一 个 资源 的 过 程 。 

(6) 扮演 : 是 用 于 认证 过 程 中 一 个 主体 假定 为 男 一 个 主体 身份 的 行为 。 

(7) 委托 : 是 一 个 主体 授权 给 另 一 个 主体 代表 自己 身份 参与 安全 操作 的 行为 。 

(8) 信任 域 : 是 一 个 被 单一 管理 和 安全 策略 支配 的 所 有 主体 和 客体 的 集合 。 
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7.3.2 CertGSl 的 安全 策略 


利用 上 述 术 语 , 将 CertGSI 系统 的 安全 策略 及 规则 定义 如 下 : 

CD 网 格 环境 由 多 个 信任 域 组 成 。 该 规则 要 求 网 格 安全 系统 必须 能 解决 大 规模 异 构 环 
境 下 的 安全 操作 问题 ,能 满足 开放 性 和 可 伸缩 性 的 要 求 。 

(2) 单一 信任 域内 的 操作 可 以 只 使 用 本 地 的 安全 规则 。 网 格 安全 策略 不 应 该 限制 和 影 
响 到 每 个 信任 域 本 地 的 安全 策略 。 

(3) 网 格 环境 中 的 每 个 信任 域 都 需要 遵守 全 局 安全 规则 。 这 些 全 局 规则 并 不 用 来 取代 
每 个 信任 域 本 地 的 安全 策略 ,而 只 是 着 眼 于 控制 信任 域 之 间 的 相互 作用 ,以 及 域 间 操作 与 本 
地 策略 之 间 的 映射 。 

CD. 位 于 不 同 信任 域 实体 之 间 的 操作 需要 进行 相互 认证 。 

(5) 所 有 访问 控制 决策 都 在 本 地 做 出 。 如 果 本 地 安全 策略 允许 ,可 以 根据 一 个 主体 的 
全 局 角色 直接 进行 访问 控制 决策 ;在 本 地 安全 策略 的 要 求 下 ,可 以 将 一 个 主体 的 全 局 角色 映 
射 为 一 个 本 地 角色 ,然后 进行 访问 控制 决策 。 

(6) 一 个 经 过 认证 的 全 局 对 象 映射 到 本 地 对 象 ,被 假设 为 通过 了 本 地 的 认证 。 

(7) 允许 一 个 程序 或 进程 以 * 用 户 ? 的 身份 出 现 , 并 被 委托 用 户 的 部 分 权限 。 

(8) 代表 同一 个 主体 在 同一 个 信任 域内 运行 的 所 有 进程 可 以 使 用 相同 的 凭证 。 


7.3.3 CertGSI 的 框架 结构 


根据 上 面 制定 的 安全 策略 及 规则 ,图 7. 3 示意 了 CertGSI 系统 的 框架 结构 。CertGSI 
以 多 种 用 途 的 数字 证 书 为 基础 ,采用 标识 证 书 (Identity Certificate,IC) 体 现 主 体 基 本 身份 ， 
使 用 属性 证 书 (Attribute Certificate,AC) 标 明 主体 具有 的 属性 ,并 根据 主体 的 基本 身份 和 
属性 信息 作出 授权 和 访问 控制 决策 。 它 还 通过 使 用 代理 证 书 (Proxy Certificate,IC) 将 一 个 
主体 的 全 部 或 部 分 权限 授予 另 一 个 主体 ,实现 网 格 环境 下 所 要 求 的 扮演 和 委托 等 功能 ,满足 
用 户 单一 登录 等 网 格 环境 下 的 特殊 安全 需求 。 

图 7.3 给 出 了 典型 的 网 格 环境 下 用 户 进行 一 次 计算 可 能 涉及 的 各 种 安全 因素 。 首 先 ， 
一 个 用 户 登 录 到 网 格 环境 中 的 一 台 计 算 机 ,通过 出 示 自 己 的 标识 证 书 及 私 钥 .相关 的 属性 证 
书 , 由 计算 机 上 的 代理 生成 器 创建 一 个 用 户 代理 ,该 用 户 代理 持 有 一 个 代理 证 书 及 私 钥 ;其 
次 ,由 用 户 代理 代表 用 户 角色 与 计算 中 需要 访问 的 资源 站 点 进行 交互 。 

在 一 次 计算 中 ,用 户 代理 可 能 需要 访问 多 个 站 点 上 的 资源 ,并 且 在 资源 访问 过 程 中 可 能 
需要 启动 许多 进程 ,这 些 进程 都 需要 在 一 定 程度 上 代表 用 户 角色 参与 相关 的 操作 ,它们 持 有 
相应 的 代理 证 书 及 私 钥 。 因 此 ,图 中 的 用 户 、 用 户 代 理 和 进程 等 都 属于 CertGSI 中 的 主体 ， 
而 系统 中 的 客体 是 指 网 格 环境 中 通常 所 见 的 许多 资源 ,例如 计算 机 、 网 络 设 备 、 存 储 设备 和 
显示 设备 等 。 

在 CertGSI 系统 中 我 们 引入 了 一 个 代表 资源 与 用 户 交互 的 实体 一 一 资源 代理 
(Resource Proxy. RP), RP 持 有 相应 的 标识 证 书 及 私 钥 , 它 代 表 资 源 与 访问 请 求 者 (远程 
主体 ) 进 行 交互 。 首 先 , 它 需要 认证 远程 主体 的 身份 ,并 负责 建立 一 个 安全 的 通信 通道 ;其 
次 ,调用 策略 引擎 (Policy Engine,PE) 根 据 本 地 的 访问 控制 策略 作出 授权 决策 。 关 于 策略 
引擎 及 其 授权 机 制 ,将 在 第 7.3.6 节 介 绍 。 
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图 7.3 CertGSI 的 框架 结构 


7.8.4 多 种 证 书 


CertGSI 共 使 用 了 标识 证 书 (IC)、 属 性 证 书 (AC) 和 代理 证 书 (PC)3 种 类 型 的 证 书 。 其 
中 ,标识 证 书 用 于 标识 主体 的 基本 身份 , 它 包 含 主体 名 称 、 主 体 公 钥 有 有效期 和 颁发 者 数字 签 
名 等 信息 。 主 体 之 间 交 互 时 ,每 个 主体 以 持 有 与 标识 证 书 中 的 主体 公 钥 相对 应 的 私 钥 信息 
为 依据 ,证 明 自 己 的 身份 。 标 识 证 书 由 标识 证 书 颁发 机 构 (Certificate Authority. CA) Ji , 
CA 是 权威 可 信 的 第 三 方 , 任 何 一 个 信任 CA 的 通信 一 方 都 可 以 通过 验证 数字 证 书 上 的 CA 
数字 签名 而 获得 对 证 书 的 信任 ,并 通过 验证 对 方 拥有 与 证 书 中 公 钥 所 对 应 的 私 钥 而 建立 与 
对 方 的 信任 关系 。 

属性 证 书 用 于 标明 主体 具有 的 属性 , 它 包含 属性 所 有 者 名 称 、 属 性 类 型 及 属性 值 ` 有 效 
期 .颁发 者 名 称 及 其 数字 签名 等 信息 。 与 标识 证 书 相 比 .属性 证 书 不 包含 有 实体 的 公 钥 , 它 
的 生命 周期 较 短 , 可 以 灵活 地 根据 主体 某 种 属性 的 变化 而 改变 。 属 性 是 一 个 主体 的 特殊 性 
质 , 用 于 指明 所 有 者 的 成 员 资格 角色、 安全 许可 或 者 其 他 一 些 授权 信息 。 虽 然 一 个 主体 的 
属性 信息 也 可 以 放 在 它 的 标识 证 书 的 扩展 项 中 .但 是 这 种 方法 存在 许多 局 限 性 3。CertGSI 
采用 标识 证 书 体现 主体 的 基本 身份 ,使 用 属性 证 书 标 明 主 体 有 具有 的 属性 ,并 主要 依据 主体 的 
属性 信息 作出 访问 控制 决策 ,这 种 机 制 可 以 大 大 提高 访问 控制 的 灵活 性 与 安全 性 。 
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属性 证 书 由 属性 证 书 颁 发 者 (Attribute Authority, AA) 颁 发 ,AA 是 某 种 属性 的 管理 者 
和 授权 者 , 它 也 应 该 持 有 一 个 由 CA 颁发 的 标识 证 书 , 拥 有 相应 的 公私 钥 对 ,并 用 自己 的 私 
钥 对 颁发 的 属性 证 书 进行 数字 签名 。 

代理 证 书 是 一 种 临时 证 书 , 主 要 用 于 网 格 环境 下 实现 扮演 和 委托 等 功能 ,将 一 个 主体 的 
全 部 或 部 分 权限 授予 男 一 个 主体 ,以 满足 用 户 单一 登录 等 安全 需求 。 在 CertGSI 中 ,代理 证 
书包 含 了 被 代理 用 户 的 标识 证 书 和 属性 证 书 中 的 有 关 人 信息。 具体 包括 代理 主体 名 称 、 代 理 
主体 公 钥 ,代理 约束 信息 、 属 性 证 书信 息 .有 效 期 .颁发 者 名 称 及 其 数字 签名 等 信息 。 代 理 证 
书 由 代理 证 书 颁发 者 (Proxy Authority, PA) 颁 发 ,PA 是 被 代理 的 用 户 或 该 用 户 的 上 一 个 
代理 。 因 为 代理 证 书 中 包含 了 代理 所 具有 的 基本 身份 .属性 及 属性 值 等 信息 ,所 以 资源 的 访 
问 控制 决策 者 根据 代理 证 书 就 可 以 作出 授权 决策 。 

代理 证 书 与 标识 证 书 类 似 , 也 是 一 种 X. 509 公 钥 证 书 , 不 过 它 还 具有 以 下 特点 ， 

CD 代理 证 书 颁发 者 可 以 是 一 个 标识 证 书 , 也 可 以 是 另 一 个 代理 证 书 。 

(2) 代理 证 书 只 可 以 用 于 签发 另 一 个 代理 证 书 , 而 不 可 以 用 来 签发 其 他 证 书 。 

(3) 代理 证 书 拥有 自己 特定 的 公 钥 / 私 钥 对 。 

(4) 代理 证 书 只 能 继承 标识 证 书 的 身份 ,而 没有 自己 特定 的 身份 。 

(5) 代理 证 书 可 以 继承 颁发 者 属性 证 书 所 表明 的 属性 。 


7.3.5 身份 认证 
CertGSI 是 基于 标识 证 书 提供 身份 认证 功能 的 ,图 7.4 给 出 了 基本 的 身份 认证 模型 。 


CA 
身份 
赋予 信任 
= 身份 声明 
标识 证 书 持 有 者 |， “| 标识 证 书 验证 者 


图 7.4 CertGSI 基 本 身份 认证 模型 


在 委托 情况 下 ,CertGSI 主要 是 基于 代理 证 书 提供 身份 认证 ,图 7.5 给 出 了 委托 身份 认 
证 模型 。 


身份 CA 
赋予 信任 
身份 声明 
PA | 一 一 一 一 | 代理 证 书 验证 者 
身份 委托 身份 声明 
代理 证 书 持 有 者 


7.5 CertGSI 委托 身份 认证 模型 


CertGSI 中 的 两 个 实体 A 和 B 进行 双向 身份 认证 的 过 程 描述 如 下 : 
d) A>B: A,Na,Ca 
(2) A>B: PKAUSKs( A. Na B. Na K1) KUNA Ng} Cs 
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(3) K{Ns} 

其 中 ,PKx{}) 表 示 使 用 实体 X 的 公 钥 对 全 中 的 数据 进行 加 密 。 
SKx{} 表 示 使 用 实体 X 的 私 钥 对 {} 中 的 数据 进行 加 密 。 
K{} 表 示 使 用 临时 产生 的 会 话 密 钥 对 {} 中 的 数据 进行 加 密 。 
Cx 表示 实体 X 的 标识 证 书 或 代理 证 书 。 

Nx 表示 实体 X 产生 的 随机 数 。 


7.3.6 访问 控制 


CertGSI 授权 主要 是 依据 主体 属性 证 书 中 的 属性 信息 进行 的 ,基本 的 授权 模型 ,如 图 7.6 
所 示 。 


AA 


特权 
赋予 信任 
特权 声明 


属性 证 书 持 有 者 | 一 一 一 一 一 一 | 属性 证 书 验证 者 


7.6 CertGSI 基本 授权 模型 


在 委托 情况 下 ,系统 则 根据 代理 证 书 承载 的 属性 信息 进行 访问 控制 ,图 7.7 给 出 了 委托 
授权 模型 。 


代理 证 书 验证 者 


代理 证 书 持 有 者 


图 7.7 CertGSI 委托 授权 模型 


在 CertGSI 中 ,资源 访问 控制 机 制 的 具体 实现 主要 由 资源 代理 (RP) 及 策略 引擎 (PE) 
完成 。 从 访问 控制 策略 的 角度 来 看 ,本 地 资源 一 般 可 以 分 成 下 面 两 种 类 型 : 一 类 是 基于 远 
程 主体 的 全 局 角色 (由 其 出 示 的 证 书 所 反映 的 身份 和 属性 信息 决定 ) 直 接 进 行 访问 控制 ; 另 
一 类 是 基于 远程 主体 映射 的 本 地 角色 进行 访问 控制 , 即 这 类 资源 的 访问 控制 决策 需要 将 远 
程 主体 的 全 局 角色 映射 为 一 个 本 地 角色 (如 本 地 系统 的 账号 ) 后 才能 作出 。 在 PE 的 实现 
中 ,对 于 前 一 类 资源 的 访问 控制 采用 了 “使 用 条 件 ” 列 表 的 技术 实现 ,所 谓 “ 使 用 条 件 ” 就 是 允 
许 远程 主体 访问 资源 所 必须 具备 的 条 件 , 这 种 条 件 是 依据 远程 用 户 的 属性 信息 制定 的 。 对 
于 后 一 类 资源 的 访问 控制 ,PE 使 用 了 全 局 /本 地 映射 表 的 技术 . 即 根据 远程 主体 出 示 的 属 
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性 证 书信 息 ,将 它 映射 成 相应 的 一 个 本 地 账号 ,然后 用 这 个 本 地 账号 进行 资源 访问 。 可 见 ， 
通过 上 述 访问 控制 机 制 ,CertGSI 不 但 可 以 兼容 不 同 的 本 地 安全 方案 ,而 且 其 基于 策略 的 授 
权 机 制 应 具有 良好 的 可 扩展 性 ,能 方便 地 扩展 到 具有 大 量 用 户 和 大 量 资源 的 开放 式 环境 中 。 
CertGSI 基本 的 访问 控制 过 程 简单 描述 如 下 : 

(1) 访问 请 求 者 (用 户 、 用 户 代 理 或 者 进程 ) 向 RP 发 送 一 个 签名 的 访问 请 求 。 

(2) RP 与 访问 请 求 者 进行 双向 身份 认证 。 若 认证 通过 则 转 至 下 一 步 ,否则 本 次 请 求 
失败 。 

(3) RP 调用 PE., Hh PE 根据 访问 资源 类 型 及 访问 请 求 者 的 角色 (属性 证 书 中 的 属性 信 
息 ) 进 行 访问 控制 决策 。 

(D 如 果 是 第 一 种 资源 类 型 ,PE 检查 该 资源 的 使 用 条 件 列表 和 访问 请 求 者 的 属性 信息 ， 
若 符合 使 用 条 件 则 允许 访问 ,否则 拒绝 访问 。 

© 如 果 是 第 二 种 资源 类 型 ,PE 检查 该 资源 的 全 局 /本 地 映射 表 和 访问 请 求 者 的 属性 信 
息 , 若 符合 映射 条 件 则 将 访问 请 求 者 映射 成 一 个 本 地 账号 进行 访问 ,否则 拒绝 访问 。 


7.4 一 种 基于 属性 证 书 的 委托 授权 模型 一 一 ACDAM 


委托 技术 是 实现 网 格 认证 和 授权 机 制 的 基础 。 实 际 上 ,权力 委托 是 分 布 式 环境 下 实现 
灵活 授权 机 制 的 普遍 需求 ,因此 ,相关 的 研究 和 论文 在 20 世纪 90 年 代 初 期 开始 出 现 。 随 着 
网 格 技术 的 出 现 和 发 展 ,文献 L3] 提 出 了 一 种 针对 网 格 环境 的 安全 委托 机 制 , 它 在 PKI 基础 
上 使 用 代理 证 书 提出 了 一 种 基于 身份 的 委托 授权 机 制 。 这 种 基于 代理 证 书 的 委托 授权 机 制 
可 以 较 好 地 应 用 于 传统 基于 身份 的 授权 环境 ,但 不 能 很 好 地 用 于 基于 属性 的 授权 环境 。 然 
而 , 随 着 基于 角色 的 访问 控制 技术 以 及 面向 授权 管理 的 PMI(Privilege Management 
Infrastructure) 技 术 的 应 用 和 发 展 , 目 前 许多 安全 系统 采用 了 基于 属性 的 授权 机 制 。 与 传统 
基于 身份 的 授权 机 制 相 比 ,基于 属性 (角色 等 ) 的 授权 机 制 能 更 加 灵活 有 效 地 应 用 于 大 规模 
分 布 式 网 络 环境 中 ,尤其 适合 用 在 具有 动态 特性 的 网 格 环境 中 。 下 面 深入 探讨 一 种 面向 网 
格 的 基于 属性 证 书 的 安全 委托 授权 模型 ,为 方便 起 见 , 以 下 简称 该 模型 为 ACDAM。 


7.4.1 若干 术语 与 定义 


所 谓 委托 (delegation) , 指 的 是 权力 的 委托 (delegation of rights) , 即 一 个 实体 A 将 自己 
拥有 的 一 部 分 权力 或 全 部 权力 授予 另 一 个 实体 B, 以 便 B 通 过 继承 A 的 合法 权力 后 能 够 访 
问 相应 的 资源 或 进行 其 他 的 安全 操作 。A 与 了 之 间 的 这 种 委托 关系 可 以 符号 表示 为 “B for 
A”. K A 将 自己 拥有 的 权力 委托 给 实体 B 后 ,实体 B 根 据 需要 可 以 将 该 权力 或 该 权力 
中 的 一 部 分 进一步 委托 给 实体 C, 这 样 A. B.C 之 间 就 形成 委托 链 关 系 (B for A,C for B). 
在 一 个 委托 链 中 ,参与 委托 的 各 方 主体 包括 以 下 几 种 。 

发 起 者 (initiator) : 是 整个 委托 链 的 最 初 授权 者 和 发 起 者 。 

委托 者 (grantor) ; 也 叫 委托 主体 , 它 将 自己 的 权力 授予 另 一 个 主体 。 

受托 者 (grantee) ; 也 叫 受 托 主体 , 它 接受 委托 方 授予 的 权力 。 

验证 者 (verifier) ; 也 叫 服务 者 , 它 向 委托 权力 的 拥有 者 提供 服务 ,实施 授权 决策 。 

中 间 者 (Cintermediary): 它 是 整个 委托 链 中 位 于 发 起 者 和 验证 者 之 间 的 主体 。 
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7.4.2 网 格 环境 下 的 委托 问题 


网 格 技术 为 人 们 进行 多 种 形式 的 资源 共享 和 协同 工作 提供 了 条 件 。 大 多 数 网 格 需 要 用 
于 一 些 临 时 的 协作 活动 中 ,在 这 样 的 网 格 环境 中 ,其 资源 和 用 户 组 成 是 动态 变化 的 ,因而 难 
以 采用 传统 的 授权 机 制 ,让 管理 员 事先 一 一 规定 好 每 一 个 用 户 对 每 一 个 资源 所 拥有 的 权限 。 
因此 ,在 这 种 网 格 环境 中 ,必须 采用 一 种 更 灵活 的 授权 机 制 , 即 支持 权力 委托 的 分 布 式 授权 
机 制 。 通 过 这 种 机 制 ,网 格 中 的 主体 之 间 可 以 互相 委托 授权 ,以 满足 具有 大 规模 、 分 布 和 动 
态 等 特性 的 网 格 环 境 的 授权 要 求 。 

为 了 说 明 网 格 环境 下 安全 委托 的 一 些 概 念 ,下 面 讨论 图 7. 8 给 出 的 一 个 网 格 计算 例子 。 


站 点 B 


Kerberos 


站 点 A 
wl @ WI for P — e] 用 户 B1, 用 户 B2,… 
s 
mme 
公 钥 证 书 上 < 3 
2) 
3 MES 
z GS 
e 
站 点 C 
W2 公 钥 证 书 
用 户 C1, 用 户 C2,… 
Data 
图 7.8 一 个 网 格 计算 示例 
l. 单 步 委 托 


图 7.8 中 步骤 和 @ 构 成 了 一 个 单 步 委 托 的 过 程 。 为 了 使 本 地 工作 站 WI 中 的 用 户 代 
理 程序 能 够 代表 物理 学 家 P 启动 远程 服务 器 S 上 的 物理 分 析 程序 ,P 需要 将 自己 拥有 的 运 
行 物理 分 析 程 序 的 权力 委托 给 W1。 这 种 委托 需要 一 种 凭证 :以 便 W1 向 S 表明 这 种 委托 
关系 (W1 for P) ,并 证 明 通 过 委托 得 到 的 权力 的 合法 性 。 


2. 多 步 委托 

图 7. 8 中 的 步骤 、@ 和 @ 构 成 了 一 个 长 度 为 2 的 多 步 委 托 的 过 程 。 为 了 WI 中 的 用 
户 代 理 程序 能 够 代表 P 启动 W2 上 的 物理 模拟 程序 ,P 需要 将 自己 拥有 的 运行 物理 模拟 程 
序 的 权力 委托 给 W1 ,实行 一 个 单 步 委 托 (W1 for P) 。 接 下 来 ,远程 工作 站 W2 还 需要 代表 
物理 学 家 了 访问 存放 在 S 上 的 一 些 用 于 模拟 的 参数 值 ,因此 它 也 需要 了 委托 相应 的 权力 。 
然而 ,假定 这 个 时 候 W2 不 能 与 P 直接 交互 ,只 能 与 W 直接 交互 ,所 以 它 只 有 通过 W 才 
能 得 到 P 的 权力 。 于 是 ,首先 P 将 访问 参数 值 的 权力 委托 给 W1, 向 WI 颁发 相应 的 委托 凭 
证 (W1 for P) ;然后 Wl 再 将 这 个 权力 进一步 委托 给 W2, 并 向 W2 颁发 相应 的 委托 凭证 
(W2 for W1)。 当 W2 向 S 发 出 请 求 时 ,通过 出 示 委 托 凭证 链 (W1l for P,W2 for W1) 证 明 
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自己 的 委托 身份 和 相应 的 权力 。 

为 了 实现 上 述 单 步 委 托 和 多 步 委托 ,需要 提供 一 套 安全 可 靠 的 委托 机 制 。 利 用 这 种 委 
托 机 制 , 权 力 的 受托 者 能 方便 地 向 验证 者 证 实 委托 的 真实 性 和 有 效 性 ,避免 委托 的 假冒 , 伪 
造 和 修改 ;委托 者 可 以 控制 和 约束 委托 ,包括 指定 可 委托 的 对 象 . 可 继承 的 权力 、 委 托 权力 的 
使 用 范围 委托 的 有 效 期 以 及 委托 链 的 长 度 。 另 外 ,委托 者 根据 需要 还 可 以 撤销 委托 。 


7.4.3 ACDAM 框架 结构 


随 着 面向 身份 认证 的 PKI 技术 的 普及 和 发 展 ,目前 面向 授权 管理 的 PMI 技术 也 逐渐 
在 各 种 安全 系统 中 得 到 应 用 。 在 PMI 中 授权 的 依据 主要 是 主体 的 属性 ,属性 是 一 个 主体 的 
特殊 性 质 , 用 于 指明 所 有 者 的 成 员 资格 角色、 安全 许可 或 者 其 他 一 些 权 力 信 息 。PMI 采用 
属性 证 书 管理 主体 的 属性 ,属性 证 书 (AC) 用 于 标明 主体 具有 的 属性 , 它 是 一 种 由 属性 权威 
(Attribute Authority,AA) 签 发 的 将 主体 与 其 享有 的 权力 属性 绑 定 在 一 起 的 数据 结构 。 与 
PKI 中 的 标识 证 书 (IC) 相 比 ,属性 证 书 不 包含 有 实体 的 公 钥 , 它 的 生命 周期 要 短 ,可 以 灵活 
地 根据 主体 某 种 属性 的 变化 而 改变 。 

虽然 一 个 主体 的 属性 信息 也 可 以 放 在 它 的 标识 证 书 的 扩展 项 中 ,但 是 这 种 方法 存在 许 
多 局 限 性 。 而 通过 使 用 属性 证 书 , 可 以 提高 访问 控制 的 灵活 性 与 安全 性 。 在 具有 动态 特性 
的 网 格 环境 中 ,使 用 属性 证 书 进行 授权 管理 带 来 的 授权 灵活 性 .可 扩展 性 和 安全 性 更 加 
明显 。 

由 于 属性 证 书记 录 了 一 个 主体 的 权力 信息 ,因此 可 以 通过 属性 证 书 实现 权力 的 传递 和 
委托 。ACDAM 就 是 一 种 使 用 属性 证 书 进行 权力 传递 和 委托 的 授权 模型 ,图 7.9 给 出 了 
ACDAM 跨 域 委 托 授权 的 框架 。 


I i | 
1 i | 
| SOAA Directory i | 
! (initiator) service | | 
| 使 用 AC 赋 予 属性 | 
| IN 查询 SOAL | 
! 的 策略 ! 
人 AA | | 
| (gano) |^ ———  — — P 1 | 
| rg SOAs | | 
l I 
| a" D. m | 
i SIUE Claimant ACHE i i a | 
| (grantee) | oL] Verifier | 
i ACH Fd | 
| 由 SOA1 管 理 的 域 A SUAE | | 由 SOA2 管 理 | 
l Di HB |] 


7.9 ACDAM 跨 域 委托 框架 


从 图 7.9 中 可 以 看 出 ,在 一 个 ACDAM 安全 域 中 包含 了 5 种 组 件 : 属性 管理 中 心 
(Source of Authority, SOA) ,属性 委托 者 (AA)、 属 性 声明 者 (Claimant, 也 是 属性 受托 者 )、 
属性 验证 者 (Verifier) 和 目录 服务 (Directory Service). KP SOA, 和 SOAs 分 别 是 各 自 所 
在 域 的 属性 管理 中 心 (SOA) ,它们 通过 颁发 属性 证 书 将 相应 的 属性 赋予 最 初 的 属性 持 有 
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者 。 在 委托 情况 下 ,SOA 人 允许 最 初 的 属性 持 有 者 充当 AA, 即 通过 颁发 一 个 新 的 AC( 作 为 
委托 凭证 ,又 可 以 称 为 委托 证 书 ) 将 相关 属性 委托 给 其 他 主体 。 同 样 ,在 多 步 委 托 的 情况 下 ， 
后 续 受 托 主体 可 以 进一步 充当 AA ,将 相关 属性 委托 给 再 下 一 个 受托 主体 ,这 样 的 多 步 委 托 
便 形成 一 个 委托 链 。 在 委托 链 中 ,前 面 的 AA 可 以 限制 后 面 AA 的 权力 ,所 有 AA 委托 给 下 
一 个 主体 的 权力 属性 不 能 大 于 自己 所 持 有 的 权力 属性 。SOA 可 以 约束 整个 委托 链 ,比如 它 
可 以 限制 委托 链 的 长 度 ,指定 后 续 可 受托 的 主体 和 属性 的 有 效 期 等 。 

属性 验证 者 信任 自己 所 在 域 的 SOA, 将 SOA 视 为 相应 属性 的 权威 。 如 果 属 性 声明 者 
的 属性 证 书 不 是 由 SOA 直接 颁发 的 ,那么 验证 者 就 需要 找到 从 该 属性 证 书 追 溯 到 一 个 由 
SOA 直接 颁发 的 属性 证 书 的 委托 链 , 并 负责 验证 委托 链 中 的 每 一 个 AA 都 真正 拥有 自己 声 
称 的 属性 ,并 有 权 委 托 给 其 他 的 主体 。 

当 进 行 跨 域 访问 时 ,属性 验证 者 可 能 无 法 识别 和 验证 属性 声明 者 的 证 书 , 因 为 两 个 域 之 
间 的 安全 策略 可 能 不 一 样 。 这 种 跨 域 访问 引起 的 问题 通过 采用 Directory Service( 目 录 服 
55) . AC translation( 属 性 证 书 转换 ) 和 guestAC( 客 人 属性 证 书 ) 解 决 。 当 进行 跨 域 委托 授 
权时 ,验证 者 所 在 域 的 SOA 通过 目录 服务 查询 获取 属性 声明 者 所 在 域 的 SOA 的 安全 策 
略 , 然 后 将 声明 者 出 示 的 属性 证 书 链 转换 成 可 被 验证 者 识别 的 单个 guestAC。 

为 了 实现 受 限 委托 机 制 ,ACDAM 使 用 了 一 种 具有 特殊 结构 的 AC, 这 种 AC 的 内 容 不 
EJF X. 509 PMI 中 定义 的 标准 AC, 它 主要 包含 以 下 6 个 字段 的 内 容 。 

(1) 委托 主体 (Issuer) : 包含 委托 主体 标识 证 书 的 序列 号 及 签发 者 。 

(2) 受托 主体 (Holder): 包含 受托 主体 标识 证 书 的 序列 号 及 签发 者 。 

(3) 属性 (Attribute) ; 用 于 指明 证 书 持 有 者 具有 的 成 员 资格 角色、 安全 许可 或 者 其 他 
一 些 权力 信息 。 

(4) 有 效 期 限 (ValidityPeriod) : 委托 的 有 效 期 限 。 

(5) 委托 长 度 (DelegateLength) : 受托 主体 可 进一步 委托 的 长 度 。 

(6) 证 书 序列 号 (SerialNumber) : 用 于 标识 该 委托 主体 颁发 的 每 一 个 委托 证 书 。 


7.4.4 ACDAM 委托 协议 


为 了 描述 方便 ,下 面 采 用 一 个 包含 六 元 组 的 签名 消息 表示 一 个 用 于 委托 凭证 的 属性 证 
书 , 即 
DI. = KE DT NM Sz 
其 中 ,X 代表 委托 主体 (Issuer) ,Y 代表 受托 主体 (Holder) .Pxy 代 表 属 性 (Attribute) ,Twy 代 
表 证 书 有 效 期 限 (ValidityPeriod) ,Lxy 代 表 可 进一步 委托 的 长 度 (MaxPathLength) ,Nxy 代 
表 证 书 序列 号 (SerialNumber) , — x 表示 采用 委托 主体 X 的 私 钥 对 二 二 中 的 消息 进行 
签名 。 


1. 域内 委托 授权 过 程 

图 7.10 给 出 了 一 个 长 度 为 2 的 多 步 委托 过 程 ,委托 路 径 为 SOA 一 A 一 B 一 C 一 S。 首 
先 ,SOA 将 相关 属性 赋予 主体 A, 然 后 A 将 属性 委托 给 主体 B,B 再 把 相关 属性 进一步 委托 
给 主体 C, 最 后 C 持 委托 得 到 的 属性 向 服务 器 S 发 出 服务 请 求 。 详 细 描 述 如 下 。 
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© OSOA, DT, -C @A, DTag, DTA 


@C, «C, S, Rcs>c DTgc, 
DTas DT. 


GB, DTec, DT Ag, DTA 


7.10 一 个 域内 多 步 委 托 授权 过 程 


HOD: (SOA 一 A: SOA,DTA) 
XOB,DT,—«SOA, A, Pis Taola NiS 

这 一 步 是 SOA 通过 向 A 颁发 属性 证 书 DTA .将 属性 Pa 赋予 A。 通 过 DTA 的 获得 ,A 
拥有 属性 PA。 证 书 是 经 过 SOA 的 私 钥 SKsoA 签 名 的 ,因此 :验证 者 使 用 SOA 的 公 钥 PKsoA 
可 以 校 验 DTA 内 容 的 真实 性 和 有 效 性 。SOA 通过 在 DTA 中 指定 证 书 的 有 效 期 限 TA 和 后 
续 委 托 的 最 大 长 度 LA ,可 以 实现 对 后 续 委 托 链 的 限制 。 

HRO: CA—B: A,DTAs ,DTA) 
KB, DTa — «AB. Pass To Lans Nan 7A 

DTic-«cSO0A. As Pis TA Ea Na 

这 一 步 是 在 上 一 步 的 基础 上 ,A 通过 向 B 颁发 委托 证 书 DTas ,将 属性 Pr 委托 给 B. 
通过 DTAs 的 获得 ,B 拥 有 属性 Paso WEB DTAs 是 经 过 A 的 私 钥 SKa 签名 的 ,因此 ,验证 者 
使 用 A 的 公 钥 PKA 可 以 校 验 内 容 的 真实 性 。DTAs 中 明确 指明 了 委托 主体 和 受托 主体 , 因 
此 可 以 确保 相关 属性 是 从 指定 主体 A 委托 给 另 一 个 指定 的 主体 B, 在 没有 B 的 进一步 授权 
下 ,任何 其 他 主体 持 有 DTas 都 是 无 效 的 。 另 外 ,委托 证 书 DTAs 中 的 序列 号 NA 可 以 用 来 标 
识 该 证 书 ,这 便于 证 书 的 撤销 和 维护 。 

A 向 B 发 送 的 消息 中 包含 两 个 证 书 , 即 DTH DTA。 其 中 ,DTA 是 上 一 步 中 SOA 向 
A 颁发 的 属性 证 书 , 用 以 证 明 A 确实 拥有 将 属性 Pa 委托 给 B 的 权力 。 注 意 ,根据 前 面 的 
委托 原则 ,为 了 减少 证 书 被 破解 后 带 来 的 风险 ,A 向 B 签 发 的 委托 证 书 DTAs 内 容 须 满足 下 
面 3 个 约束 条 件 : 

COD 委托 权力 约束 : Pag PA. 

(2) 委托 长 度 约束 : OS Lag — La 

G) 有 效 期 限 约束 : T 委 Tas<TA(CT 指 当前 时 间 ) 

HRO: (B—C: B,DTac,DTAs,DTA) 
XB DTac— «B.C, Prcs Tic s Locs Nnc77n 

DTas — — A.B. Pas Tan Lan Nag A 

DT4 —«SOA, A, P4, Tis ba NS 

这 一 步 是 在 前 面 两 步 的 基础 上 ,B 通过 向 C 签发 委托 证 书 DTas ,进一步 将 相关 属性 
(Pac) 委 托 给 C。DTee 证 书 是 经 过 B 的 私 钥 SKa 签 名 的 ,因此 ,验证 者 使 用 也 的 公 钥 PKs 可 
以 校 验 内 容 的 真实 性 。A 向 B 发 送 的 消息 中 包含 3 个 证 书 , 即 DTe. DT M DTi. H, 
DTe ftl DT, 是 前 面 两 步 中 签发 的 证 书 , 用 以 证 明 该 委托 的 完整 来 源 和 合法 性 。 

根据 受 限 委托 的 原则 ,B 向 C 签发 的 委托 证 书 DTec 的 内 容 必须 满足 下 面 3 个 约束 
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条 件 : 

CD 委托 权力 约束 : Pac Pas 

(2) 委托 长 度 约束 : OL Lsc — Las 

G) 有 效 期 限 约束 : TTec 志 Tap 

HRO: (CS. C,<C,S,Res> ,SKe,DTaec . DT As ,DTA) 
Hh Dla —-—B,C, Pyc Tac Lac Ners 

DIu-«ABPasTualasNin A 

DT, 7 «SOAÀ, A. P4, TA LasNA ss 

这 一 步 是 主体 C 持 委托 得 到 的 权力 属性 Pac 向 服务 器 S 发 出 签名 的 资源 访问 请 求 Res. 
C 向 S 发 送 的 消息 中 包含 与 委托 相关 的 完整 证 书 链 (3 个 证 书 , 即 DTsc .DTas 和 DTA), 用 以 
证 明 自 己 拥有 的 委托 身份 和 权力 属性 。S 在 作出 授权 决策 之 前 ,必须 一 一 验证 DTac `.DTAs 
和 DT, 的 真实 性 和 有 效 性 ,以 证 实 请 求 者 C 的 委托 身份 ,并 验证 A 确实 拥有 权力 将 属性 
PAs 委 托 给 B, 而 了 拥有 权力 将 属性 Pac 委托 给 C。 同 时 ,S 还 需要 检查 下 面 3 个 委托 约束 条 
件 是 否 满足 : 

COD 委托 权力 约束 : Pic Pas PA 

(2) 委托 长 度 约束 : 0<La 二 Las 二 La 

G) 有 效 期 限 约 束 : T Tec Tas TA 

通过 上 述 验 证 后 ,S 就 可 以 依据 权力 属性 Pac 和 相关 资源 的 授权 策略 作出 授权 决策 ,或 
准许 访问 ,或 拒绝 访问 。 

2. 跨 域 委托 授权 过 程 

图 7.11 给 出 了 一 个 跨 域 多 步 委托 过 程 ,委托 路 径 为 SOA1 一 A 一 BC 一 SOA2 一 C 一 
S, 它 可 以 分 成 6 个 步骤 : 


C) 


COD 属性 声明 者 所 在 域 的 属性 管理 中 心 SOAT 将 相关 属性 赋予 主体 ACSOAT— A0; 

(2) A 将 相关 的 属性 委托 给 主体 BCA-~B); 

(3) B 再 把 相关 属性 进一步 委托 给 主体 CCB 一 C); 

CD. C 向 验证 者 所 在 域 的 属性 管理 中 心 SOA2 发 出 请 求 .将 属性 证 书 链 转 换 为 可 被 服 
务 器 S 识别 的 证 书 (C->SOA2); 

(5) SOA2 授予 C 一 个 客人 属性 证 书 guestACCSOA2—O) ; 

(6) C f$ guestAC 向 服务 器 S Az LIA OR CCS). 

因为 步骤 四 .步骤 四 和 步骤 图 与 前 述 域内 委托 过 程 完 全 一 样 , 所 以 下 面 只 简要 补充 描述 
步骤 田 . 步 又 加 和 步 又 @ 。 


图 7.11 一 个 跨 域 多 步 委 托 授权 过 程 
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HRO: (C—SOA2; C,DTac ,DT ,DTA) 
Hp Die — BC; Pies TicsLucsNu 8 

Din- «A; B; Piss Taos aps Wan A 

DT, —«SOA1,A,P,;T. La sNA*soA 
约束 条 件 : 

A) Pic Pas Pa 

(2) OxCLic <La <La 

(3) Tusc Tis TA 

HO: (SOA2—C; SOA2.guestAC) 
HiH, guestAC = «SOA2,C, Po, To «Le Ne 77 soa 

HED: (CS: C. C. S. Roc. guestAC) 
HiH guestAC = «SOA2,C, Prs To «Le; No; soi 


7.5 一 种 支持 信任 管理 的 委托 授权 模型 一 一 TrustDAM 


现 有 的 网 格 安全 技术 大 多 数 是 传统 PKI 技术 的 改进 和 扩充 ,实质 上 只 是 暂时 解决 了 身 
份 认证 等 一 些 初步 的 安全 问题 ,难以 满足 不 断 发 展 中 的 网 格 应 用 环境 的 分 布 异 构 性 、 多 变性 
和 不 确定 性 的 要 求 。 如 前 所 述 ,“ 信 任 管理 ”和 “信任 协商 "等 思想 方法 的 出 现 ,为 所 有 基于 开 
放 、 分 布 ,动态 特性 环境 的 安全 问题 提供 了 新 的 解决 思路 ,同时 也 为 网 格 安全 问题 的 解决 提 
供 了 新 方法 。 下 面 在 前 一 节 内 容 的 基础 上 ,专门 探讨 一 种 支持 信任 管理 的 委托 授权 模 
JJ — —TrustDAM, 


7.5.1. 网 格 环境 下 的 信任 管理 问题 


第 1 章 已 指出 “信任 ”是 一 个 非常 复杂 的 概念 ,目前 国内 外 对 于 信任 都 还 没有 一 个 精确 
的 ,广泛 可 接受 的 定义 。 实 际 上 ,信任 的 含义 是 与 具体 的 应 用 环境 相关 的 。 我 们 认为 ,在 网 
格 应 用 环境 中 ,凭证 信任 和 行为 信任 是 两 种 最 主要 的 信任 形式 ,它们 对 网 格 的 安全 保障 都 是 
缺 一 不 可 的 因素 。 

1. 基于 凭证 的 网 格 信任 管理 问题 

目前 在 信息 安全 领域 中 , 现 有 的 大 多 数 信任 模型 一 般 都 是 通过 某 种 安全 凭证 (如 标识 和 
证 书 等 ) 建 立 实体 之 间 的 信任 关系 。 例 如 ,在 PKI 体系 中 采用 身份 证 书 建 立身 份 信任 关系 ， 
在 PMI 体系 中 则 采用 属性 证 书 建立 属性 (角色 和 能 力 等 ) 信 任 关 系 。 我 们 将 这 一 类 关系 统 
称 为 “基于 凭证 的 信任 关系 ”。 它 们 涉及 的 是 一 类 可 精确 描述 和 推理 的 、 度 量 绝对 的 、 静 态 的 
信任 关系 。 

在 网 格 环境 中 ,目前 广泛 使 用 的 GSI 安全 机 制 以 及 GGF 提出 的 基于 CA 的 信任 模型 实 
质 上 只 是 解决 了 身份 信任 的 问题 ,并 没有 涉及 属性 信任 关系 ,不 支持 灵活 的 基于 策略 的 授权 
机 制 。 而 且 它 们 在 支持 身份 认证 的 安全 委托 和 可 扩展 性 等 方面 也 还 有 许多 局 限 性 。 

2. 基于 行为 的 网 格 信任 管理 问题 

基于 凭证 的 信任 管理 通过 各 种 安全 凭证 的 使 用 可 以 基本 解决 身份 信任 、 角 色 / 能 力 信任 
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等 问题 ,但 是 它 并 不 能 解决 所 有 的 网 格 安全 问题 。 例 如 ,一 个 需要 使 用 远程 大 型 计算 机 运行 
其 程序 的 网 格 用 户 , 尽 管 采用 证 书 通过 了 系统 的 身份 和 角色 验证 ,但 是 这 并 不 排除 他 还 有 亚 
意 的 行为 ,或 者 他 运行 的 程序 存在 风险 。 这 正如 在 现实 社会 中 一 个 有 身份 有 资格 的 人 ,并 
不 意味 着 他 的 行动 就 是 完全 可 信赖 的 一 样 。 因 此 ,在 网 格 环境 中 还 需要 研究 行为 信任 的 问 
题 。 如 前 所 述 , 所 谓 基 于 行为 的 信任 管理 ,就 是 通过 实体 的 行为 表现 来 度量 实体 的 信任 度 ， 
并 依 此 建立 实体 之 间 的 信任 关系 。 我 们 认为 ,在 网 格 这 样 复杂 的 应 用 环境 中 实施 信任 管理 
技术 ,关键 的 环节 在 于 信任 信息 的 获取 和 反馈 机 制 ,以 及 与 安全 策略 实施 相 结 合 的 机 制 , 而 
不 仅仅 在 于 信任 度 评估 数学 模型 的 建立 。 


7.5.2 TrustDAM 框架 结构 


为 了 在 ACDAM 的 基础 上 建立 一 个 完全 支持 信任 管理 的 委托 授权 模型 TrustDAM , 首 
先 需 要 明确 “信任 ”(trust) 和 “声誉 "(reputation) 这 两 个 概念 。 

如 前 所 述 ,“ 信 任 ” 是 一 个 非常 模糊 的 概念 ,目前 国内 外 对 于 信任 都 还 没有 一 个 精确 的 、 
广泛 可 接受 的 定义 。 为 了 方便 起 见 ,在 TrustDAM 中 采用 如 下 定义 中 :“Trust is the firm 
belief in the competence of an entity to act as expected such that this firm belief is not a 
fixed value associated with the entity but rather it is subject to the entity's behavior and 
applies only within a specific context at a given time. " 

我 们 使 用 信任 值 (Trust Value,TV) 度 量 信任 的 程度 ,信任 值 是 一 个 动态 的 值 ,如 果 以 
信任 程度 的 百分比 来 表示 , 它 的 取 值 范围 为 0 一 1 的 实数 ,1 表示 完全 信任 (fully 
trustworthy) ,0 表示 完全 不 信任 (fully untrustworthy) 。 

可 以 根据 一 个 实体 的 声誉 评估 它 的 信任 程度 ,在 TrustDAM 中 也 使 用 文献 [4] 给 出 的 
“声誉 "定义 :“The reputation of an entity is an expectation of its behavior based on other 
entities’ observations or the collective information about the entity's past behavior within a 
specific context at a given time. " 

为 了 实现 更 加 安全 的 委托 授权 机 制 ,TrustDAM 使 用 了 一 种 带 有 信任 值 TV 的 属性 证 
书 AC, 这 种 AC 主要 包含 以 下 7 个 字段 的 内 容 。 

CD 委托 主体 (Issuer) : 包含 委托 主体 标识 证 书 的 序列 号 及 签发 者 。 

(2) 受托 主体 (Holder): 包含 受托 主体 标识 证 书 的 序列 号 及 签发 者 。 

(3) 属性 (Attribute) : 用 于 指明 证 书 持 有 者 具有 的 成 员 资 格 . 角 色 、 安 全 许可 或 者 其 他 
一 些 权力 信息 。 

(4) 信任 值 CTrustValue) ; 委托 主体 赋予 该 委托 的 信任 程度 。 

(5) 有 效 期 限 (ValidityPeriod) : 委托 的 有 效 期 限 。 

(6) 委 托 长 度 (DelegateLength): 受托 主体 可 进一步 委托 的 长 度 。 

(7) 证 书 序列 号 (SerialNumber) : 用 于 标识 该 委托 主体 颁发 的 每 一 个 委托 证 书 。 

图 7.12 给 出 了 TrustDAM 部 署 在 一 个 网 格 虚拟 组 织 环境 中 的 框架 。 与 ACDAM 相 
比 ,TrustDAM 由 于 集成 了 信任 管理 功能 ,所 以 能 达到 更 加 安全 的 委托 授权 机 制 。 服 务 器 
可 以 通过 检查 委托 证 书 链 中 的 信任 值 TV ,评估 该 委托 链 的 可 靠 程 度 。TV 是 通过 实体 的 声 
2$ (reputation) 和 实体 之 间 的 直接 信任 关系 计算 得 到 的 ,而 声誉 是 通过 域 属性 管理 中 心 
SOA 提供 的 声誉 服务 (Reputation Service,RS) 查 询 得 到 的 ;实体 之 间 的 直接 信任 关系 根据 
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使 用 带 TV 的 由 SOA1 管 理 的 域 1 
AC 链 委托 特权 


Grantor |———— — — — — —*| Grantee 
DIT f~ 


使 用 带 TV 的 
AC 链 声明 特权 


Verfier 
DTT 
] RTV 


"HL 跨 域 使 用 带 
Verifier TV 的 AC 链 声明 
DIT 和 委托 特权 

RTV [- 


由 SOA3 管 理 的 域 3 由 SOA2 管 理 的 域 2 


7.12 TrustDAM 在 一 个 网 格 虚拟 组 织 中 的 框架 结构 


每 一 个 实体 自己 维护 的 直接 信任 表 (Direct Trust Table.DTT) 计 算 。 服 务 器 在 进行 基于 信 
任 的 授权 决定 时 ,可 以 预先 设 定 一 个 信任 需求 值 (Required Trust Value. RTV), 如 果 委 托 
证 书 链 的 信任 值 小 于 该 信任 需求 值 RTV ,就 拒绝 提供 服务 。 同 样 ,服务 器 也 可 以 设 定 一 个 
声誉 需求 值 (required reputation value,RRV) ,如 果 委 托 证 书 链 的 声誉 值 小 于 该 声誉 需求 值 


CRRV) ,就 拒绝 提供 服务 。 


7.5.3 信任 和 声誉 的 计算 方法 


1. 符号 与 定义 

CD 假设 D; 和 D; 代 表 网 格 环境 中 的 两 个 域 。 

(2) D: Di DARRE t 时刻 D; 和 了 Di 关于 委托 的 信任 关系 。 

(3) 0D; D; DARRE t HFA D; 对 Di 关于 委托 的 直接 信任 关系 。 

(D AD; ,四 代表 在 1 时 刻 D; 关于 委托 的 声誉 。 

(5) DTT(D, D RX Di 对 D; 关于 委托 的 直接 信任 表 。 

Y(t 一 与 ) 是 一 个 时 间 训 减 函数 , 它 代 表 两 个 实体 之 间 的 信任 值 随 着 时 间 训 减 的 程度 ， 


:是 当前 时 间 c; KIR DID; 之 间 最 近 一 次 发 生 接触 的 时 刻 或 DTT 最 近 被 更 新 的 时 刻 。 


2. 声誉 的 计算 和 评估 
在 图 7. 12 给 出 的 网 格 环境 中 ,由 每 个 域 中 的 SOA 负责 提供 声誉 服务 (RS) ,RS 需要 不 


断 更 新 和 维护 本 域内 各 个 实体 的 声誉 值 ,以 及 负责 计算 、 维 护 和 发 布 其 他 域 的 声誉 值 。 


1) 域 声 誉 的 计算 
域 D; 的 声誉 值 按 如 下 公式 计算 : 


i 
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SIDTT(O, Dj) XRO DI X ya — t) 
ACD; t) = E - (C. 
DD; 

HP kAj RO, D EREA RAER R da T ki EAKA ITA TSA 
的 , 它 与 两 实体 间 的 相互 熟悉 程度 成 反比 ,两 实体 间 越 熟悉 ,或 隶属 于 同一 联盟 ,推荐 信任 因 
数值 越 低 , 取 值 范 围 为 0 一 1 之 间 的 实数 。 

2) 实体 声誉 的 计算 

一 个 域内 实体 E; 的 声誉 值 按 如 下 公式 计算 : 


YDTTG, ,E;) X R(E, ,E;) X ya — ty) 
(CE 4) = 一 一 (1.2) 
AE 

其 中 ,去 j,E WE; 代表 同一 个 域内 的 两 个 实体 ,其 他 符号 的 含义 同 式 (7-1) 。 

3) 委托 链 声誉 值 的 评估 

(1) 同一 个 域内 的 委托 链 

假定 委托 链 的 委托 路 径 为 A>E E SE, B. Hop A 是 发 起 者 ,B 是 验证 者 ,其 
他 是 在 同一 个 域内 的 中 间 者 。 那 么 ,该 委托 链 声誉 值 的 计算 公式 如 下 : 


RV(ODC.0 = QCGA.0 x [[acg;.0 (7.3) 
一 1 


(2) 跨 域 的 委托 链 
假定 一 个 委托 链 的 委托 路 径 为 A Di DoD, BOE A 发 起 者 ,B 是 验证 者 ， 
其 他 是 在 个 不 同 域 内 的 中 间 者 。 那 么 ,该 委托 链 声誉 值 的 计算 公式 如 下 : 


RV(DC,t) = Q(A,t) X Tow» (7.4) 


3. 信任 的 计算 和 评估 
1) 信任 值 的 计算 
一 个 属性 证 书 AC 上 的 信任 值 (TV) 代 表 了 委托 主体 ( 设 为 E;) 对 受托 主体 ( 设 为 E;) 的 
信任 关系 ,因此 信任 值 TV 按 如 下 公式 计算 : 
TV = IXE,Ej,t) = a X OE,E,,t) + RX OCE; +t) (7.5) 
HF a p20 a tpl. 
(CE,.E;.0 代表 在 1 时 刻 E; 对 E; 关 于 委托 的 直接 信任 关系 ,因此 它 的 计算 公式 如 下 : 
OE:sE,st) = DTT(CE,.E,)) X Y4 — t) (7.6) 
QC; 0 代表 在 :时刻 E; 的 声誉 值 。 如 果 E 和 五 在 同一 个 域内 .QCE; 0 8] VATRRESR CT -2»3- 
算 。 如 果 E, HIE; 不 在 同一 个 域内 ,可 以 将 E; 所 在 域 D; 的 声誉 值 看 作 是 E; 声誉 值 ,那么 
QAE; ,0 就 可 以 按照 式 (7-1) 计 算 。 
2) 委托 链 信任 值 的 评估 
假定 一 个 委托 链 的 委托 证 书 路 径 为 ACG AC > AC, ,各 证 书 的 信任 值 为 : TV 
for AC. TV; for AC; ,… ,TV, for AC, 。 那 么 ,委托 链 的 整体 信任 值 TV(DC) 按 以 下 公式 
iW. 


8 
ie 信任 管理 与 网 络 安全 


TV(DC) = [[ TV; GT 


j-l 


7.5.4 TrustDAM 委托 协议 


下 面 采 用 一 个 包含 七 元 组 的 签名 消息 表示 一 个 用 于 TrustDAM 委托 凭证 的 属性 证 
书 , 即 
DTxy =< X,Y,Pxy, Txy,Lxy, TVxy Nx >x 
其 中 ,X 代表 委托 主体 (Issuer) ,Y 代表 受托 主体 (Holder) ,Pxy 代 表 属 性 (Attribute) ,Txy 代 
表 证 书 有 效 期 限 (ValidityPeriod) ,Lxy 代 表 可 进一步 委托 的 长 度 (MaxPathLength),TVxy 
代表 信任 值 (TrustValue) , Nxy 代 表 证 书 序列 号 (SerialNumber) ,一 >x 表示 采用 委托 主体 
X 的 私 钥 对 二 二 中 的 消息 进行 签名 。 


1. 委托 证 书 的 创建 

委托 主体 A 与 受托 主体 B 之 间 进 行 委托 的 过 程 中 ,需要 创建 一 个 用 作 委 托 赁 证 的 带 有 
信任 值 的 属性 证 书 , 其 步骤 如 下 。 

步骤 1: 委托 主体 A 从 自己 维护 的 DTT 中 读 取 DTT(A,B) ,然后 按 式 (7.6) 计 算 A 和 
B 之 间 的 直接 信任 关系 OCA. B. D. 

步 又 2: 委托 主体 A 查询 自己 所 在 域 的 声誉 服务 (RS) ,获取 受托 主体 B 的 声誉 值 
Q.D. 

步骤 3. 委托 主体 A 按 式 (7.5) 计 算 该 委托 的 信任 值 TVAs 。 

步 又 4: 委托 主体 A 使 用 自己 的 私 钥 创 建 一 个 包含 信任 值 TVas 等 内 容 的 委托 证 书 
DT — «A ByPus TL Te Na 

2. 委托 授权 过 程 

TrustDAM 的 链 式 委托 过 程 与 7.4.4 节 中 介绍 的 ACDAM 链 式 委托 过 程 基 本 一 样 , 这 
里 不 再 袭 述 。 下 面 只 简要 地 给 出 图 7. 10 所 示 的 一 个 域内 链 式 委托 过 程 的 形式 化 描述 。 

步骤 1: SOA 一 A: SOA,DTA 
其 中 ,DTA 王 <SOA,A,PA,TA,LA,TVA, NA 二 soA 

步骤 2: A 一 B: A.DTas. DTA 
3B DTe — A.B, DT Loe TW Ne 

DT4—«:SOA, A,PA, TA La; TVA NA 三 sw 
约束 条 件 : 

(OD PaPa 

(2) 0S LLa 

3) Tas Ta 

步骤 3: B—C; B. DTsc ,DTas ,DTA 
HH, DT= B.C, Pres Tic Luc s TVac sNgc77n 

DT4s —— A, B, Pas Tan «Lan ^ T Vans Nas>A 

DTA 王 <SOA,A,PA,TA,LA,TVA, NA 二 soA 
ARRP: 


y$ 
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(1) Pac Pan 
(2) OCL sc «Lan 
(3) Tic Tas 
步骤 4: CS: C, «C, S Res C. DTgc ,DTas DT 
其 中 ,DTac 王 二 B,C,Pac,Tac,Lac,TVac,Nec>B 
DTas — A, B. Pan s Tan s Lan T Vans Nan A 
DTA 王 <SOA,A,PA\,TA,LA,TVA, NA 二 soA 
Rcs 代 表 C 向 S 发 出 的 请 求 。 
约束 条 件 : 
A) Pic Pag PA 
(2) OxCLic Lan «LA 
(3) Ti C Tas TA 


7.6 本 章 小 结 


本 章 在 分 析 网 格 安全 需求 的 基础 上 ,探讨 了 可 支持 安全 委托 的 网 格 认 证 和 授权 问题 , 提 
出 了 一 种 新 的 基于 多 种 证 书 的 网 格 安全 系统 CertGSI。 该 系统 通过 灵活 使 用 标识 证 书 、 属 
性 证 书 和 代理 证 书 等 多 种 不 同 用 途 的 数字 证 书 , 不 但 可 以 满足 网 格 环境 下 的 各 种 安全 需求 ， 
而 且 它 提供 的 认证 和 授权 机 制 具有 较 强 的 灵活 性 和 安全 性 。 本 章 也 深入 分 析 了 网 格 环境 下 
的 安全 委托 问题 ,提出 了 一 种 基于 属性 证 书 的 安全 委托 授权 模型 一 一 ACDAM ,该 模型 通过 
一 种 用 作 委 托 凭证 的 属性 证 书 实现 权力 属性 的 委托 和 传递 ,使 用 委托 证 书 链 实 现 多 步 委托 。 
作为 信任 管理 思想 方法 的 一 种 应 用 ,本 章 提出 了 一 种 支持 信任 管理 的 委托 授权 模型 一 一 
TrustDAM。 该 模型 建立 在 ACDAM 基础 上 ,两 者 的 不 同 之 处 在 于 ,TrustDAM 的 委托 证 
书 中 附加 携带 了 一 个 信任 值 (Trust Value, TV), 并 且 增 添 了 关于 域 和 实体 声誉 
(reputation) 评 估 和 计算 的 相关 组 件 和 服务 。 因 此 ,在 TrustDAM 中 ,服务 器 可 以 通过 验证 
委托 证 书 链 的 信任 值 以 及 评估 委托 证 书 链 的 声誉 值 以 加 强 委托 授权 的 安全 性 和 可 靠 性 。 
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随 着 计算 机 和 网 络 在 人 类 生活 的 各 个 领域 中 的 广泛 应 用 ,网 络 在 给 人 类 带 来 了 种 种 便 
利 的 同时 ,也 带 来 了 种 种 挑战 和 和 危 机。 目前 ,计算 机 病毒 .木马 .蠕虫 、 网 络 钓 鱼 以 及 利用 网 
络 窃取 国家 和 商业 秘密 、 传 播 反动 和 黄色 淫秽 信息 、 侵 犯 个 人 隐私 等 计算 机 犯罪 案件 不 断 增 
多 ,已 经 严重 威胁 到 个 人 利益 和 国家 安全 ,给 互联 网 带 来 的 损失 也 日 益 增加 。 因 此 ,网 络 诚 
信和 安全 问题 日 益 凸 显 。 如 何 规范 网 络 行为 ,如 何 打击 网 络 的 违法 犯罪 活动 ,如 何 鼓 励 网 络 
诚信 行为 ,成 为 当前 的 热门 话题 。 为 了 管理 和 规范 网 络 主体 的 行为 ,加 强 网 络 诚信 建设 , 必 
须 建 立 一 套 有 效 的 网 络 主体 信任 评价 标准 、 评 价 方法 和 评价 体系 。 


8.1 网 络 诚信 概述 


当前 ,互联 网 已 经 成 为 我 国信 息 社 会 的 重要 基础 设施 ,成 为 人 们 工作 和 生活 的 重要 工 
具 。 但 是 ,在 互联 网 行业 蓬勃 发 展 的 过 程 中 ,社会 上 的 各 种 不 诚信 现象 也 在 互联 网 上 发 生 ， 
既 损 害 了 互联 网 行业 的 社会 形象 ,又 阻碍 了 互联 网 行业 的 发 展 。 

所 谓 网 络 诚信 ,是 指 网 络 行为 主体 在 进行 的 所 有 网 络 行为 中 ,诚实 守信 ,言行 一 致 , 不 欺 
骗 别 人 ,不 发 布 虚 假 信息 ,不 侵犯 其 他 网 络 主体 的 权利 ,所 有 行为 力求 真实 可 靠 ,不 利用 网 络 
作为 工具 从 事 一 切 不 诚信 的 行为 5] 。 网 络 诚信 是 网 络 环境 下 建立 在 人 与 人 交往 基础 上 的 网 
络 虚 拟 社会 的 道德 问题 ,是 现实 社会 诚信 问题 在 网 络 虚 拟 社会 的 延伸 ,是 网 络 虚拟 社会 存在 
的 价值 基础 和 发 展 的 动力 之 源 。 

网 络 诚信 建设 是 一 项 系统 工程 ,需要 社会 各 方面 的 参与 和 支持 ,从 管理 ,法律 .道德 和 技 
术 等 多 个 环节 建设 ,才能 建立 一 套 符合 社会 发 展 需要 的 网 络 诚信 体系 。 在 网 络 诚信 体系 建 
设 中 ,为 了 管理 和 规范 网 络 主体 的 行为 ,必须 建立 一 套 有 效 的 网 络 主体 信任 评价 标准 、 评 价 
方法 和 评价 体系 。 我 们 认为 ,网 络 主体 主要 包括 网 络 用 户 、 网 站 业务 经 营 者 、 网 络 服务 商 和 
软件 等 。 本 章 主要 讨论 软件 信任 评价 体系 、 网 站 信任 评价 体系 和 网 络 个 人 用 户 信 任 评价 
体系 。 


8.2 软件 信任 评价 体系 


本 节 提 出 一 种 基于 AHP 的 软件 信任 评价 模型 (AHP-based Trust Evaluation Model 
for Software, ATEMS) ,来 评价 和 保证 软件 的 可 信 性 。 软 件 信 任 评价 模型 包括 构造 判断 
和 矩阵、 计算 权重 值 、 一 致 性 检验 以 及 信任 度 贡献 值 确定 和 信任 度 的 计算 。 本 节 为 了 检验 
软件 信任 评价 模型 ,应 用 两 种 软件 (IM 软件 QQ 和 下 载 软件 迅雷 ) 对 模型 进行 实例 分 析 ， 
以 检测 模型 的 可 用 性 。 经 检验 ,评价 模型 的 结论 与 调查 的 结论 相同 ,从 而 验证 了 本 节 模 
型 的 可 用 人性。 


2 
k 信任 管理 与 网 络 安全 


8.2.1 软件 信任 评价 


由 于 目前 网 络 木 马 和 流氓 软件 等 恶意 软件 的 蔓延 严重 影响 了 人 们 各 个 方面 的 活动 ,其 
至 造成 巨大 的 经 济 损失 。 因 此 ,建立 一 种 评价 软件 可 信 性 的 评价 体系 对 社会 活动 的 进行 和 
构建 良好 的 网 络 环境 都 具有 重要 的 作用 。 本 节 提 出 建立 一 套 以 政府 部 门 作为 第 三 方 来 对 软 
件 的 信任 进行 评价 并 制定 标准 、 运 用 AHP 方法 建立 评价 模型 来 对 软件 的 具体 信任 度 进行 
评价 的 软件 信任 评价 体系 。 


1. 软件 信任 评估 机 构 

由 谁 来 评估 软件 是 首先 需要 解决 的 问题 。 软 件 的 评估 不 能 像 一 些 简单 的 商品 那样 可 以 
让 使 用 客户 来 评价 ,因为 软件 本 身 就 是 由 计算 机 语言 编写 成 的 ,软件 的 最 终 返 回 结果 以 及 可 
视 化 部 分 都 是 软件 的 设计 者 想 让 我 们 看 到 的 ,并 且 经 过 软件 本 身 或 其 他 过 程 加 工 过 的 结果 。 
如 果 要 评价 软件 的 好 坏 ,需要 非常 多 的 其 他 辅助 软件 的 帮助 ,才能 知道 软件 是 否 在 使 用 的 过 
程 中 与 互联 网 连接 并 收发 数据 ,是 否 修改 注册 表 , 是 否 开启 了 未 知 的 端口 ,是 否 捆绑 了 木马 ， 
是 否 带 有 病毒 ,等 等 。 就 算 通 过 许多 的 辅助 软件 也 不 一 定 能 够 确定 软件 的 可 信 性 ,比如 其 携 
带 的 病毒 或 其 本 身 会 设置 一 定 的 条 件 以 触发 某 一 事件 ,在 该 事件 没有 发 生 之 前 是 无 法 知道 
这 一 功能 的 。 

所 以 ,要 彻底 地 评估 软件 的 好 坏 ,就 要 得 到 软件 的 源 代 码 ,这 样 才 能 知道 软件 各 个 部 分 、 
各 个 模块 是 如 何 运行 的 , 它 运行 的 原理 是 什么 ,是 以 什么 为 基础 运行 的 ,等 等 。 但 是 软件 的 
源 代码 以 及 编程 思路 是 作为 专利 申请 过 的 ,是 对 外 保密 的 。 用 户 对 使 用 的 软件 处 在 信息 不 
对 称 的 地 位 , 故 其 评价 可 以 作为 参考 ,但 是 权重 应 该 很 小 ;如 果 由 第 三 方 来 评价 软件 的 可 信 
性 是 比较 理想 的 ,并 且 很 多 的 律师 以 及 社会 与 论 都 比较 赞同 这 一 做 法 。 但 是 还 有 一 个 问题 
存在 , 即 第 三 方 的 可 信 性 又 该 如 何 评价 。 第 三 方 的 可 信 性 直接 决定 了 软件 的 可 信和 性 ,软件 的 
可 信 性 是 决定 着 网 络 用 户 对 互联 网 和 自己 的 计算 机 的 正常 使 用 。 政 府 部 门 作为 第 三 方 有 可 
信 性 的 保证 ,也 就 保证 了 对 软件 可 信和 性 评估 的 可 信 性 。 公 司 及 其 个 人 想 要 在 网 络 上 推行 自 
己 的 软件 ,就 应 该 由 政府 部 门 作为 第 三 方 对 其 进行 评估 ,并 公开 评估 之 后 的 结果 。 这 种 结果 
可 以 以 新 闻 的 形式 张贴 在 该 部 门 的 网 站 上 。 同 时 ,该 政府 部 门 为 软件 颁发 证 书 ( 可 以 使 用 一 
段 数字 ,也 可 以 使 电子 证 书 等 形式 ,用 户 在 该 部 门 网 站 上 可 以 查询 证 书 ), 具 有 证 书 的 软件 才 
能 得 到 国家 有 关 部 门 认可 ,这 类 似 于 质量 认可 中 的 产品 质量 认证 的 ISO 认证 和 TEC 认证 。 
同时 ,我 们 还 需要 设计 出 适合 我 国 国情 的 软件 可 信人 性 管理 体系 ,如 质量 管理 体系 中 的 ISO 
9000 质量 体系 认证 。 除 了 上 述 体系 和 相关 的 评估 模型 外 ,还 要 辅 以 法 律 的 配合 。 出 台 相 关 
的 法 律 法 规 和 建立 软件 信用 数据 库 ,规定 通过 认证 的 软件 是 可 信和 软件 ,并 规定 认证 软件 和 非 
认证 软件 的 赔偿 问题 。 

2. 软件 信任 评价 方法 

由 于 应 用 软件 用 途 广 泛 , 使 用 群体 庞大 ,所 涉及 的 因素 众多 ,使 得 对 软件 的 评价 很 难 确 
定 统 一 的 标准 。 软 件 的 可 信 性 随 软件 用 途 的 变化 而 变化 ,并 且 软 件 的 设计 是 面向 使 用 者 的 。 
因此 ,基于 使 用 者 评价 数据 构造 软件 的 可 信 性 模型 , 既 解 决 了 统一 标准 过 于 粗略 造成 的 评价 
数据 不 准确 的 问题 ,又 使 评价 结果 更 具 人 性 化 。 层 次 分 析 法 (Analytic Hierarchy Process， 
AHP) 通 过 采集 使 用 者 评价 数据 构造 两 两 比较 判断 矩阵 ,通过 处 理 判 断 矩 阵 得 出 各 因素 的 
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权重 值 。 相 同 的 模型 ,不同 的 使 用 者 数据 和 不 同 的 软件 有 着 不 同 的 权重 值 。 同 时 ,层次 分 析 
法 把 研究 对 象 作为 一 个 系统 ,把 定性 和 定量 方法 相 结合 ,并 且 实 施 步 又 和 计算 均 较 为 简便 ， 
可 称 得 上 是 从 使 用 者 出 发 的 适用 于 广大 用 户 的 方法 。 

基于 此 ,本 节 提 出 了 一 种 新 的 软件 信任 评价 模型 , 即 一 种 基于 AHP 的 软件 信任 评价 模 
型 (AHP-based Trust Evaluation Model for Software. ATEMS)。 第 一 . 它 按 层次 分 析 法 要 
求 建立 3 层 层级 模型 : 目标 层 \ 准 则 层 和 子 准则 层 ; 第 二 ,根据 各 因素 间 的 相互 比较 数据 (由 
调查 问卷 得 到 ) 构 造 比较 矩阵 ;第 三 ,计算 权重 值 ( 即 为 归 一 化 的 最 大 特征 值 对 应 的 特征 向 
量 ) 并 对 矩阵 进行 一 致 性 检验 ;第 四 ,确定 子 准 则 层 的 信任 度 贡献 值 ;第 五 ,计算 结果 。 

3. 软件 信任 度 的 影响 因素 

影响 软件 信任 度 的 因素 众多 ,本 节 将 影响 因素 划分 为 5 个 方面 ,包括 设计 中 缺陷 、 源 代 
T .操作 系统 、 功 能 漏洞 以 及 涉及 的 相关 内 容 。 

D 设计 中 的 缺陷 

对 于 软件 来 说 ,其 开发 设计 过 程 是 非常 重要 的 ,在 开发 设计 中 决定 了 软件 的 编写 语言 、 
功能 用 途 .使 用 的 操作 系统 、 图 形 界面 以 及 一 些 对 于 计算 机 系统 内 部 命令 和 文件 的 调用 等 软 
件 应 该 具有 的 属性 。 

2) 源 代码 是 否 开 放 

源 代码 是 否 开放 也 是 决定 软件 信任 度 的 重要 因素 。 有 人 可 能 认为 开源 的 软件 是 安全 
的 ,因为 所 有 人 都 可 以 看 到 软件 的 源 代码 ,从 而 知道 软件 是 如 何 运行 的 ,调用 了 操作 系统 的 
什么 文件 等 非 开源 软件 所 不 能 了 解 的 软件 的 各 个 方面 。 但 在 开源 的 同时 ,懂得 编程 语言 的 
人 便 可 以 修改 软件 的 代码 ,从 而 为 他 所 用 ,这 样 虽然 可 以 广泛 地 提高 软件 更 新 的 速度 ,但 对 
于 那些 对 计算 机 不 是 很 了 解 的 使 用 者 来 说 ,他 们 不 知道 软件 是 如 何 运 行 的 , 当 他 们 打开 软件 
的 时 候 很 可 能 就 是 被 攻击 的 时 候 。 而 对 于 非 开 源 软 件 来 说 , 懂 不 懂 编 程 语言 的 使 用 者 都 不 
知道 软件 是 如 何 运行 的 ,或 者 说 不 知道 软件 具体 是 如 何 运行 的 ,这 样 就 保证 了 软件 不 会 被 恶 
意 修改 并 发 送 给 那些 容易 受到 攻击 的 用 户 。 

3) 操作 系统 安全 性 

操作 系统 也 是 有 安全 级 别 的 。 美 国 可 信 计 算 机 安全 评价 标准 (TCSEC) 将 计算 机 系统 
的 安全 划分 为 D 级 .C 级 .B 级 和 A 级 4 个 等 级 、7 个 级 别 。D 类 安全 等 级 只 包括 D 这 一 个 
级 别 ,D1 的 安全 等 级 最 低 ;C 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 提供 
审计 能 力 ,C 类 安全 等 级 可 划分 为 C1 和 C2 两 类 ;B 类 安全 等 级 可 分 为 Bl .B2 和 B3 三 类 ,B 
类 系统 具有 强制 性 保护 功能 ;A 系统 的 安全 级 别 最 高 ,A 类 安全 等 级 只 包含 Al 一 个 安全 
类 别 。 


^) 功能 漏洞 
功能 上 的 漏洞 可 能 是 编写 代码 时 的 玻 忽 ,也 可 能 是 未 对 使 用 群体 做 深入 的 研究 ,导致 软 
件 在 使 用 上 容易 误 操作 而 导致 错误 。 


5) 软件 中 涉及 的 相关 不 良 内 容 

不 良 内 容 包括 很 多 种 类 ,如 黄色 暴力 、 假 证 发 票 .信用 卡 诈骗 和 网 络 赌博 等 。 

本 节 中 建立 模型 的 指标 体系 所 提 及 的 并 非 是 影响 软件 信任 度 的 所 有 因素 ,而 是 目前 比 
较 受 到 关注 的 几 个 因素 。 其 中 ,设计 中 的 缺陷 包括 未 对 输入 过 滤 、 未 及 时 释放 内 存 、 非 提示 
弹 窗 发送 未 加 密 数 据 和 能 口令 ; 源 代码 方面 包括 开放 源 代 码 和 部 分 开放 源 代 码 ; 操 作 系统 


4 
i: 信任 管理 与 网 络 安全 


方面 包括 验证 设计 级 、 强 制 保护 级 .自主 保护 级 和 最 小 保护 级 ;功能 漏洞 方面 包括 存在 高 危 
漏洞 和 操作 烦琐 ;涉及 的 相关 内 容 包 括 涉及 黄色 暴力 、 涉 及 诱导 性 及 欺骗 性 信息 以 及 涉及 政 
38 .宗教 和 种 族 的 不 良 信息 。 
8.2.2 软件 信任 评价 模型 框架 

1. 层次 分 析 法 (AHP) 

层次 分 析 法 (Analytic Hierarchy Process,AHP) 是 在 20 世纪 70 年 代 中 期 由 美国 运筹 
学 家 托马斯 ， 塞 蒂 (T. L. Saaty) 正 式 提出 的 。AHP 是 将 一 个 复杂 的 多 目标 决策 问题 看 做 
一 个 系统 ,将 与 决策 有 关 的 元 素 分 解 成 目标 、 准 则 和 方案 等 简单 的 层次 ,在 此 基础 之 上 进行 
定性 和 定量 分 析 的 决策 方法 。 层 次 分 析 法 的 基本 步骤 如 下 。 

1) 建立 层次 结构 模型 

经 过 对 实际 问题 进行 深入 的 分 析 , 将 与 目标 有 关 的 各 个 因素 按照 不 同 的 类 型 和 不 同 的 
属性 分 成 不 同 的 层次 ,在 同一 层 中 的 不 同 因素 依据 对 上 层 因 素 的 影响 不 同 而 分 为 不 同 的 类 
别 。 层 级 结构 的 顶端 是 目标 层 , 是 要 分 析 的 问题 的 主要 目标 。 在 顶层 下 面 的 层次 是 准则 层 ， 
准则 层 的 下 层 为 子 准 则 层 , 各 层 间 按照 相似 的 规则 进行 划分 。 

2) 构造 比较 矩阵 

从 层次 结构 模型 的 第 二 层 开始 ,从 属于 (或 影响 ) 上 一 层 每 个 因素 的 同一 层 各 个 因素 按 
成 对 比较 法 和 一 定 的 比较 尺度 构造 比较 和 矩阵。 在 构造 的 比较 矩阵 中 ,元素 代 表 因素 间 相 互 
影响 程度 ,元 素 的 值 越 大 , 则 元 素 对 于 与 其 比较 的 元 素来 说 就 更 加 重要 。 而 在 以 矩阵 的 对 角 
线 相对 称 的 位 置 则 是 此 元 素 的 倒数 ,也 就 是 说 ,重要 性 是 用 数值 n 和 1/n 来 表示 的 。 

3) 计算 权 向 量 并 做 一 致 性 检验 

对 于 每 一 个 比较 矩阵 ,计算 其 最 大 特征 根 及 对 应 特征 向 量 , 利 用 一 致 性 指标 和 随机 一 致 
性 指标 计算 出 的 一 致 性 比率 做 一 致 性 检验 。 若 检验 通过 ,特征 向 量 ( 归 一 化 后 ) 即 为 权 向 量 ， 
若 没 通过 , 需 重新 构造 或 矫正 比较 和 矩阵。 

4) 计算 组 合 权 向 量 

计算 底层 目标 的 组 合 权 向 量 , 按 照 组 合 权 向 量 表示 的 结果 进行 决策 。 若 层次 较 多 且 每 
层 的 因素 也 很 多 , 则 需要 对 组 合 权 向 量 做 组 合 一 致 性 检验 。 

2. ATEMS 模型 框架 

软件 是 用 户 与 计算 机 硬件 之 间 的 接口 ,用 户主 要 是 通过 软件 与 计算 机 进行 交流 。 由 于 
计算 机 和 网 络 的 广泛 应 用 ,软件 的 数量 和 覆盖 的 范围 更 是 大 得 惊人 ,所 以 对 于 软件 的 评价 和 
对 于 软件 的 使 用 是 分 不 开 的 。 软 件 本 身 又 是 各 种 各 样 .功能 各 异 的 ,运行 在 不 同 的 操作 系统 
上 ,编写 软件 的 语言 也 是 不 同 的 。 同 时 ,由 于 软件 的 使 用 者 不 同 , 相 同 的 软件 可 能 对 于 不 同 
的 使 用 者 和 使 用 意图 起 着 不 同 的 作用 。 正 是 由 于 软件 的 这 种 灵活 性 和 多 样 性 ,决定 了 软件 
可 信 性 评价 模型 也 应 包含 多 准则 、 多 因素 并 采用 可 以 考虑 到 多 种 方面 的 评价 方法 。 

本 节 模 型 中 影响 软件 信任 度 的 因素 均 为 目前 比较 受 关注 的 方面 。 本 节 将 影响 软件 信任 
度 的 因素 分 为 5 个 方面 , 共 16 个 因素 。 

层次 的 划分 如 图 8. 1 所 示 ,目标 层 A 为 软件 信任 度 ,准则 层 B 分 为 Bi、B;、B;、B, 和 Bso 
B, 为 设计 中 的 缺陷 ,B: 为 源 代 码 是 否 开 放 ,Bs 为 操作 系统 安全 性 ,B, 为 功能 漏洞 ,Bs 为 软 
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件 中 涉及 的 相关 不 良 内 容 。 其 中 ,B 包括 Ci 未 对 输入 过 滤 、Cs 未 及 时 释放 内 存 、C; 非 提示 
弹 窗 、C 发送 未 加 密 数据 和 Cs 弱 口 令 ;Bs 包括 Cs 开放 源 代码 和 C; 不 开放 源 代码 ;Bs 包括 
Cs 验证 设计 级 .Cs 强制 保护 级 .Ci 自主 保护 级 和 Cul 最 小 保护 级 ;B, 包括 Cis 存 在 高 危 漏洞 
和 Cs 操作 烦琐 ;Bs 包括 Cus 涉及 黄色 和 暴力 、Cis 涉 及 诱导 性 及 欺骗 性 信息 和 Cis 涉 及 政治 
宗教 和 种 族 的 不 良 信 息 。 其 层级 关系 如 图 8. 1 所 示 。 


软件 信任 度 

设 源 功 相 

bi 代 作 能 关 

的 码 i 内 

gh 5 ii 容 

陷 
| | 
ESSE SEES 全 部 || A B C D 存 操 | | 黄 其 政 
对 | 及 || 提 || 送 || 单 前 分 | | 级 级 | | 级 | | 级 在 作 | | 色 Jj i8 
S zx RI 公 公 高 烦 、 性 RU 
AR [9 | mm | tà 开 开 f Hi E 信 2 
SES E | D 力 息 5 
iEn 数码 F 种 
存 据 族 
的 
不 
民 
信 
E 
图 8.1 ATEMS 层级 模型 
3. 构造 判断 矩阵 


由 于 影响 软件 信任 度 的 因素 可 分 为 不 同 的 层级 ,并 且 每 层 之 中 各 个 因素 也 分 为 不 同 的 
类 别 ,事实 上 ,在 每 个 不 同 的 类 别 中 的 不 同 因素 也 对 软件 的 信任 度 有 着 不 同 的 影响 。 以 操作 
系统 为 例 , 相 同 的 软件 在 不 同 的 操作 系统 中 运行 时 有 着 不 同 的 要 求 , 软 件 在 不 同 的 操作 系统 
中 可 能 有 着 不 同 的 界面 .不 同 的 系统 文件 调用 。 由 于 各 层 的 因素 对 软件 信任 度 的 影响 不 同 ， 
因此 需要 确定 各 个 因素 的 重要 性 顺序 作为 其 权重 的 参考 量 。 

由 于 在 模型 中 因素 众多 ,需要 可 以 分 出 等 级 且 可 计算 的 赋值 方法 ,在 AHP 模型 中 大 多 
采用 9 度 标 度 法 ,如 表 8. 1 所 示 。 


表 8.1 9 度 标 度 法 
标 度 定 x 3 定 义 
两 因素 重要 性 相同 一 因素 比 另 一 因素 极端 重要 
一 因素 比 另 一 因素 稍为 重要 2,4,6,8 | 两 相 邻 判断 的 中 值 
一 因素 比 另 一 因素 明显 重要 一 因素 对 另 一 因素 的 非 重要 性 取 其 倒数 


w = 


2a 


一 因素 比 男 一 因素 强烈 重要 


将 9 度 标 度 法 应 用 于 AHP 方法 中 构造 判断 矩阵 的 做 法 如 下 。 
首先 ,每 层 中 的 不 同类 别 的 因素 通过 9 度 标 度 法 的 定义 进行 重要 性 比较 ,得 出 比较 数 
值 。 如 公开 源 代 码 相 比 于 不 公开 源 代 码 强 烈 重 要 , 则 在 得 到 的 AHP 比较 矩阵 中 ,公开 源 代 
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码 与 不 公开 源 代码 的 重要 性 位 置 数值 为 7; 同 理 ,在 不 公开 源 代码 与 公开 源 代码 的 重要 性 的 
位 置 ,数值 则 为 7 的 倒数 , 即 1/7。 

以 某 准则 层 下 的 一 个 类 别 中 的 5 个 相对 重要 性 逐 级 递增 的 因素 为 例 。 假 设 5 阶 方 阵 J 
为 准则 层 判 断 和 矩阵 , 则 ,矩阵 应 为 


[1 2 3 4 6$] 
l1 2 34 
n Qn Gi Gu Ads 2 
dz21 Az qz Qa dz5 1 1 
omn | 
J = |as às as as das|= |3 2 
Aa Ga? Us3 Qa das 1 il il 
4 3 2 is 
Ası Q52 53 ds dss 
lod RE i 4 
L5 4 3 2 E 
4. 计算 权重 值 


AHP 模型 中 ,各 个 因素 的 权重 值 的 确定 是 ,通过 对 判断 矩阵 进行 计算 得 出 其 最 大 特征 
根 所 对 应 的 特征 向 量 ; 特 征 向 量 归 一 化 后 ,特征 向 量 中 各 个 数值 即 为 所 求 权 重 。 特 征 向 量 的 
求解 步 又 如 下 。 
1) 判断 矩阵 每 列 归 一 化 
而 一 -一 (ja — 220a) 
Mas 
其 中 ,为 准则 层 B; Gi 二 1,2,…,n) 中 子 准则 层 中 的 影响 因素 。 
2) 矩阵 的 元 素 按 行 相 加 
W, = su Gj = 2.) 
30 相 加 后 的 向 量 归 一 化 
W= W: G,j = 1,2, n) 


2 W, 
j=1 


5. 一 致 性 检验 

判断 矩阵 是 根据 决策 者 的 知识 和 经 验 得 出 的 ,决策 者 做 出 的 估计 可 能 并 不 精确 。 可 能 
是 由 于 可 评价 的 因素 过 多 或 评价 时 受到 其 他 外 界 影 响 等 ,各 个 因素 的 重要 性 之 间 可 能 出 现 
矛盾 ,如 au 比 5b 重要 ,6b 比 c 重要 ,而 c 又 比 a 重要 。 理论 上 来 说 ,如 果 A 是 完全 一 致 的 成 对 
比较 矩阵 ,应 该 有 agas — aa ,1 二 i,j ,kn。 为 了 避免 出 现 这 样 的 情况 ,需要 对 矩阵 进行 一 
致 性 检验 并 调整 矩阵 。 

判断 矩阵 的 最 大 特征 根 由 以 下 公式 求 出 ; 


(AW); 
Amas = 2i nW; 


其 中 ， 
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W, = mm Gj = 1,2,3,.m 
2jW; 
一 致 性 指标 
x Hn 
CI= t 
dp n JFE RE WI — ScpE R A 
CI 
CR- gi 


其 中 平均 随机 一 致 性 指标 RI 是 对 于 固定 的 ”随机 构造 成 对 比较 矩阵 4, 其 中 aj EMA 1， 
2,7.9,1/2,1/3. 1/9 中 随机 抽取 的 。 这 样 得 到 的 A 是 不 一 致 的 , 取 充分 大 的 子 样本 (大 
于 500) 得 到 A 的 特征 根 后 求 算数 平均 值得 到 的 。 具 体 数 值 如 表 8. 2 所 示 。 


表 8.2 RI 值 


通过 计算 CI 和 与 判断 矩阵 维 数 相对 应 的 RI, 运 用 上 面 的 公式 计算 出 一 致 性 比率 CR. 
得 到 了 判断 矩阵 的 CR 后 , 便 可 以 判断 其 一 致 性 ,并 决定 是 否 对 判断 矩阵 进行 调整 。 当 
CR<0.1 时 , 则 认为 判断 矩阵 具有 满意 的 一 致 性 ,或 者 其 不 一 致 的 程度 是 在 接受 的 范围 内 
的 ; 香 则 调整 判断 矩阵 ,直到 其 到 达 满 意 的 一 致 性 为 止 。 

6. 信任 度 贡献 值 和 信任 度 的 计算 

在 本 模型 中 引入 AHP 方法 的 目的 是 确定 影响 软件 信任 度 的 因素 在 计算 软件 信任 度 时 
的 权重 。 为 了 确定 软件 的 信任 度 的 具体 数值 ,只 有 各 因素 的 权重 是 无 法 计算 的 。 

为 此 ,在 本 模型 中 引入 各 因素 的 信任 度 贡 献 值 。 顾 名 思 义 ,信任 度 的 贡献 值 也 就 是 每 层 
的 各 个 因素 对 软件 信任 度 的 影响 程度 。 贡 献 度 的 确定 可 以 用 很 多 方法 ,如 上 面 的 9 度 标 度 
法 或 5 度 标 度 法 等 。 为 了 能 够 得 到 比较 精确 的 信任 度数 值 , 故 在 本 模型 中 采用 百分制 给 出 
贡献 值 , 即 各 个 因素 对 信任 度 的 贡献 度 为 0~100, 也 就 是 说 ,60 分 以 下 的 因素 即 被 认为 对 该 
软件 的 贡献 度 不 起 积极 作用 。 

在 得 到 各 个 因素 的 信任 度 贡献 值 和 权重 后 ,准则 层 中 各 个 类 别 的 信任 度 由 其 包括 的 子 
准则 层 数 据 计算 得 出 ， 


tj 一 SD: Wa, )(d = 1,2, ,l; i = 1,2, sn; j = 1,2,3, sm) 
在 本 模型 中 ,/ 二 2,m 二 5,n 二 2,3,4,5 
在 得 出 准则 层 中 各 个 类 别 的 信任 度 后 ,目标 层 的 信任 度 工 则 可 由 准则 层 数据 计算 
得 出 : 
Tu Ww. Cp = i2) 
本 模型 中 ,i 二 2,g 二 5。 
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8.2.3 实例 分 析 


为 了 验证 本 节 构 建 的 软件 信任 评价 模型 ,应 用 两 种 日 常 软件 (IM 软件 QQ 和 下 载 软件 
迅雷 ) 对 模型 进行 实例 分 析 , 以 检测 其 可 用 性 和 有 效 性 。 

l. 数据 采集 

由 前 面 可 知 ,模型 中 需要 两 种 数据 : 信任 度 的 贡献 值 和 判断 和 矩阵。 本 节 通 过 调查 问卷 
的 形式 得 到 这 两 种 数据 ,方法 如 下 : 选取 20 人 的 样本 ,对 每 个 人 发 放 两 种 形式 的 调查 问卷 ， 
一 种 收集 模型 因素 对 信任 度 的 贡献 值 , 另 一 种 收集 数据 来 构建 判断 矩阵 。 

IM 软件 QQ 的 平均 贡献 度 D; 如 表 8.3 所 示 。 

表 8.3 IM 软件 的 平均 贡献 度 


ll I5 I8 I5 Te IS T9 Te T Te 
I 
下 载 软件 迅雷 的 平均 贡献 度 D; 如 表 8.4 所 示 。 
表 8.4 下 载 软件 的 平均 贡献 度 
mIsTSTSTSTSTS T I [T I TT T T8 T: 
nn 


2. 数据 处 理 

由 于 通过 调查 问卷 得 到 的 受 访 者 对 本 模型 各 个 因素 重要 性 相 比 较 的 数据 较 多 ,限于 篇 
幅 , 这 里 不 将 所 有 得 到 的 数据 罗列 出 来 。 在 以 下 计算 中 的 判断 矩阵 均 为 将 数据 处 理 后 (简单 
的 加 权 平 均 ) 的 结果 

1) 对 IM 软件 所 得 数据 进行 处 理 

IM 软件 QQ 的 判断 矩阵 A; 、B Bis Bis 、Bu 和 Bis 分 别 如 下 : 


Cis 


91 


n A d.c dnm 
5-4 2 3 

E A. ue. d 

5 1 3 3 5 
A = 1 1 
4 = 1 2 = 
3 3 

] 1 1 

Ew wey 
B 2 3 2 Fj 


A = [0.0667 0.3041 0.1681 0.1178 0.3433]" 
判断 矩阵 的 最 大 特征 根 A 一 5. 31, 一 致 性 指标 CI 二 0.078, 一 致 性 比率 CR 10. 069— 


0.1, 和 矩 阵 达 到 一 致 性 标准 。 
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L d £i d 
tow ua Yt 
EET 

2 1 3 vg 

B, = rc A. 
4 3 IY 5 2 

E AEE 4 3 S 

5 5. 5 

3. 4 2 5 1 


Ws, = [0.1254 0.1525 0.2681 0.0488 0.4052]* 
判断 矩阵 的 最 大 特征 根 Ama =5. 34, 一 致 性 指标 CI 一 0. 078, 一 致 性 比率 CR 一 册 =0. 076— 
0. 1, 和 矩阵 达到 一 致 性 标准 。 

i L 
| i 
7.1 


Wa, = [0.129 0.8761]7 
当 判 断 和 矩阵 的 维 数 为 2 时 ,判断 矩阵 无 须 验证 一 致 性 。 


| 1 d 

bos dog 

1 1 

b. d m 
Bi = 3 4 
1 

43 1 本 
34 S 1l 


Wa, = [0.0897 0.1807 0.2563 0.4733]" 
判断 矩阵 的 最 大 特征 根 A. — 5. 1, Sf ER CT 0. 0525. — SE LESE CR E10. 047< 
0. 1, Rie 8I — Sc o 


Ws, = [0.0995 0.9005 ]" 


1 23 2 
1 
Esc]. 142 
1 d 
z7 7! 


Wa, = [0.4905 0.3119 0.1976]" 
判断 矩阵 的 最 大 特征 根 3. 3. 05. — AHE HR CI 一 0. 025, 一 致 性 比率 CR GL 0. 043< 
0. 1 ,矩阵 达到 一 致 性 标准 。 
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由 以 上 数据 计算 可 知 ,IM 软件 QQ 的 信任 度 Tw 二 > Wat; = 79.33. 


2) 对 下 载 软件 所 得 数据 进行 处 理 


下 载 软件 迅雷 的 判断 矩阵 Az Ba Bos „B23 „Ba 和 Bzs 分 别 如 下 : 


1l 


5 

9. 
A= i 
p 3 

1 

ra 

4 2 


Wa, = [0.0533 0. 
判断 矩阵 的 最 大 特征 根 Ama 二 5. 35. 
0. 078<0. 1 ,矩阵 达到 一 致 性 标准 


1 5 
la 
p. - [t ? 
lc 
+5 


il 
5 


1 i 
3 4 
1 
di: 
1 
Eug: 
1 
P o» 
2 d 


3109 0.1675 0.1197 0.3486]" 


一 致 性 指标 CI 一 0. 0875, 一 致 性 比率 CR CT 


5 2 
adr 
4 5 
1101 
LET 

1 
!|ovy 
2- d 


Ws, = [0.4006 0.0517 0.0942 0.1778 0.2757]" 


CI 


判断 矩阵 的 最 大 特征 根 Ama = 5. 21, 一 致 性 指标 CI 一 0. 0525, 一 致 性 比率 CR= gr — 
0. 047 —0. 1 ,和 矩阵 达到 一 致 性 标准 。 


1 
Ba = 
6 


Wy, = [0.1441  0.8559]7 


B; = 


3 


1 


pà 


4 


A dt 
4 3 
du 
3 4 

1 
Hw 
4. d 


Wy. = [0.0897 0.1807 0.2563 0.4733]" 
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判断 矩阵 的 最 大 特征 根 6 一 5. 1 一 致 性 指标 CI 一 0. 0525, 一 致 性 比率 CR 一 车 一 0. 047— 


0. 1 ,和 矩阵 达到 一 致 性 标准 。 


1 
I 
e 
;| 


Wa, = [0.1239 0.8761] 


1 d wu 
— 2 
Bs — |3 1 2 
1 1 
377! 


Ws, = [0.5897 0.2515 0.1588]" 
判断 矩阵 的 最 大 特征 根 Ama 3. 05. — St PETE E CT— 0. 025, 一 致 性 比率 CR= 出 =0. 043— 
0. 1 ,矩阵 达到 一 致 性 标准 。 
p 

由 以 上 数据 计算 可 知 , 下 载 软件 迅雷 的 信任 度 To = X Wa = 77.77. 

通过 运用 建立 的 评价 模型 对 IM 软件 QQ 和 下 载 软件 迅雷 的 信任 度 进行 评价 的 结果 可 
知 : 79.33 二 77.77。 可 知 , 对 于 受 调查 者 来 说 ,IM 软件 QQ 的 信任 度 大 于 下 载 软件 迅雷 的 
信任 度 。 

3. 结论 

通过 运用 建立 的 评价 模型 对 IM 软件 QQ 和 下 载 软 件 迅雷 的 信任 度 进行 评价 的 结果 
可 知 : 79. 33 过 77.77。 可 知 对 于 受 调查 者 来 说 ,IM 软件 QQ 的 信任 度 大 于 下 载 软件 迅雷 
的 信任 度 。 与 此 同时 ,在 参与 调查 的 20 人 中 有 13 人 认为 IM 软件 QQ 与 下 载 软件 迅雷 
相 比 具有 更 高 的 信任 度 。 本 节 评 价 模型 的 结论 与 调查 的 结论 相同 ,从 而 验证 了 本 节 模 型 
的 可 用 性 。 


8.3 网 站 信任 评价 体系 


本 节 提 出 建立 一 套 网 站 信任 评价 体系 ,来 防止 网 络 用 户 被 欺骗 或 被 恶意 攻击 而 选择 可 
信和 网 站 的 问题 。 该 体系 中 不 仅 包含 网 站 的 安全 制度 规范 ,还 包括 其 对 网 站 信任 的 评价 模型 。 
本 节 还 提出 评价 体系 中 网 站 的 安全 制度 是 不 可 或 缺 的 ,并 给 出 了 安全 制度 的 基本 框架 。 本 
节 综 合 网 站 的 类 别 、 网 站 的 漏洞 以 及 网 站 的 安全 制度 3 个 方面 的 因素 建立 评价 模型 指标 体 
系 。 通 过 对 两 个 目前 较 流 行 的 网 站 进行 分 析 测试 ,证 明了 模型 的 可 用 性 。 


8.3.1 网 站 信任 评价 


网 站 是 指 根据 一 定 的 规则 ,使 用 HTML 等 工具 制作 的 用 于 展示 特定 内 容 的 相关 网 页 
的 集合 。 网 站 是 一 种 通信 工具 ,通过 网 站 ,人 们 可 以 发 布 自己 想 要 公开 的 资讯 或 提供 相关 的 
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网 络 服务 。 许 多 公司 都 有 自己 的 网 站 ,他 们 利用 网 站 来 进行 宣传 .发布 产品 资讯 和 招聘 信息 
等 。 人 们 可 以 通过 网 页 浏览 器 来 访问 网 站 ,获取 自己 需要 的 资讯 或 者 享受 网 络 服务 。 随 着 
互联 网 的 飞速 发 展 ,各 种 各 样 的 网 站 应 运 而 生 , 越 来 越 多 的 政府 部 门 、 商 业 机 构 、 非 营利 机 
构 银行 和 学 校 等 纷纷 将 信息 和 业务 “ 搬 ” 到 网 上 。 同 时 ,很 多 个 人 也 可 以 制作 个 人 主页 ,这 
些 通常 是 用 来 自我 介绍 、 展 现 个 性 的 地 方 , 如 现在 的 博客 和 微 博 等 。 这 样 不 仅 能 让 网 站 的 主 
办 单位 运用 网 站 为 其 做 宣传 并 提供 各 种 服务 ,也 方便 了 需要 使 用 网 站 的 单位 和 个 人 。 不 同 
的 网 站 含有 不 同 的 信息 , 随 着 网 站 数量 的 激增 ,网 站 中 包含 的 信息 量 也 呈 爆 炸 式 发 展 。 在 搜 
索引 擎 中 简单 地 搜索 一 下 就 可 得 到 上 亿 的 相关 网 页 。 有 时 在 如 此 海量 的 信息 面前 我 们 显得 
无 所 适 从 ,相同 或 相关 的 主题 可 能 出 现在 不 同 的 网 站 中 ,但 不 同 的 网 站 间 是 有 区 别 的 。 有 些 
网 站 是 正规 网 站 发 布 正常 的 消息 并 且 网 站 本 身 不 存在 恶意 链接 或 国家 法 令 禁 止 的 内 容 ; 但 
有 些 网 站 上 则 可 能 弹出 欺骗 性 的 窗 体 , 如 仿冒 QQ 的 新 消息 或 通知 中 奖 等 窗 体 , 还 可 能 有 一 
些 涉及 黄色 暴力 或 违禁 的 信息 等 。 有 的 网 站 连接 到 钓鱼 网 站 ,引诱 网 民 进 行 转账 或 者 交易 
来 骗取 钱财 ,或 者 存在 跨 站 攻击 盗 取 网 民 的 Cookie。 面 对 如 此 众多 的 网 站 ,如 何 才 能 使 众 
多 的 网 络 用 户 不 被 欺骗 或 被 恶意 攻击 ,而 选择 信任 的 网 站 ,就 成 为 首要 问题 。 对 众多 的 网 站 
进行 信任 评价 成 为 解决 该 问题 的 一 种 方法 。 本 节 提 出 建立 一 套 网 站 信任 评价 体系 : 在 制度 
方面 ,该 体系 提出 建立 统一 的 网 站 安全 制度 标准 用 于 规范 安全 制度 ;在 模型 方面 ,综合 网 站 
的 类 型 、 网 站 安全 漏洞 以 及 网 站 的 安全 制度 建立 网 站 信任 评价 模型 。 


8.3.2 影响 网 站 信任 度 的 因素 


网 站 的 信任 度 取决 于 网 站 自身 的 很 多 因素 ,网 站 的 信任 度 有 别 于 软件 的 信任 度 。 软 件 
一 旦 编译 成 功 ,软件 所 能 提供 的 功能 和 信息 都 是 软件 编制 时 设 定好 的 。 软 件 的 维护 一 般 都 
是 依靠 给 软件 打 补 丁 或 定时 更 新 ,并 且 软 件 编制 成 功 后 都 需要 有 加 密 或 加 壳 的 过 程 ,一 般 的 
用 户 很 难 了 解 软件 的 源 代 码 。 而 网 站 对 自身 的 保护 则 是 通过 防火 墙 .IDS 和 IPS 等 网 络 设 
备 或 通过 服务 端 对 访问 控制 和 输入 的 字段 等 进行 设置 来 控制 网 站 的 安全 性 。 与 此 同时 ,网 
站 的 维护 需要 有 一 定 能 力 的 人 员 不 断 地 检查 ,对 于 网 站 的 管理 也 要 有 一 定 的 管理 制度 。 因 
此 ,影响 网 站 信任 度 的 因素 不 仅仅 包括 网 站 本 身 的 漏洞 ,还 应 包括 网 站 维护 、 网 站 管理 的 制 
度 和 规范 。 

l. 网 站 的 分 类 

目前 互联 网 上 的 IPv4 资源 日 益 耗 尽 , 由 此 可 见 互 联网 上 的 网 站 之 多 ,在 这 海量 的 网 站 
中 ,不 同 的 网 站 提供 不 尽 相同 的 服务 ,政府 部 门 网 站 提供 动态 信息 .办事 指南 和 政策 法 规 等 ， 
也 可 提供 网 上 行政 业务 申报 ,办理 和 相关 数据 查询 等 交易 类 网 站 为 商家 提供 在 线 交 易 的 平 
台 等 。 网 站 的 信任 度 部 分 取决 于 网 站 提供 的 服务 ,如 社区 网 站 提供 网 民 在 网 上 进行 交流 ,发 
布 自己 观点 的 平台 。 其 中 不 乏 有 人 会 为 了 提高 自己 的 关注 度 而 制造 一 些 虚假 消息 ,或 为 了 


牟取 私利 而 提供 欺骗 性 消息 。 
本 节 对 目前 的 比较 流行 的 网 站 进行 分 类 ,从 而 为 评价 网 站 的 信任 度 提供 数据 。 网 站 分 
类 及 其 功能 如 下 。 


D 资讯 门户 类 网 站 
资讯 门户 类 网 站 ,主要 目的 是 提供 信息 ,是 当前 最 普遍 的 网 站 形式 之 一 。 此 类 网 站 涵盖 
的 工作 类 型 很 多 ,同时 信息 量 就 会 相对 较 大 ,访问 的 群体 也 是 非常 广泛 。 其 功能 通常 包括 检 
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索 功 能 ,论坛 板块 和 留言 板 等 。 评价 此 类 网 站 主要 的 参考 因素 包括 信息 类 型 .信息 发 布 方 
A ,流程 以 及 信息 量 的 数量 级 别 。 如 新 浪 、 搜 狐 和 新 华 网 等 都 属于 这 类 网 站 。 

2) 企业 品牌 类 网 站 

企业 品牌 网 站 ,顾名思义 ,目的 是 为 了 展示 企业 综合 实力 .体现 企业 CIS 和 品牌 理念 。 
网 站 利用 多 媒体 交互 技术 和 动态 网 页 技术 针对 客户 进行 内 容 建设 ,从 而 达到 企业 形象 建设 
和 品牌 营销 传播 的 目的 。 企 业 品牌 网 站 大 致 可 分 为 三 类 : 企业 形象 网 站 .品牌 形象 网 站 和 
产品 形象 网 站 。 

3) 交易 类 网 站 

交易 类 网 站 以 订单 为 中 心 ,以 实现 交易 为 目的 。 交 易 的 对 象 可 以 是 企业 或 是 消费 者 。 
此 类 网 站 有 3 项 基本 内 容 : 展示 商品 、 生 成 订单 和 执行 订单 。 系 统 功 能 一 般 包 括 产品 管理 、 
订购 管理 .订单 管理 .产品 推荐 .支付 管理 .收费 管理 . 送 发 货 管理 和 会 员 管 理 等 。 一 些 比较 
大 的 交易 网 站 还 包括 积分 ERP 系统 .VIP 管理 系统 .CRM 系统 、MIS 系统 和 商品 销售 分 析 
系统 等 。 交 易 类 网 站 可 细 分 为 3 类 : B2C 网 站 、B2B 网 站 和 C2C 网 站 。 

4) 社区 网 站 

社区 网 站 是 比较 大 型 的 网 站 ,其 注册 用 户 的 数量 相对 来 说 也 是 较 多 的 。 其 功能 类 似 于 
BBS ,比如 猫扑 和 天 涯 等 。 

5) 办 公 及 政府 机 构 网 站 

此 类 网 站 分 为 企业 办 公事 务 类 网 站 和 政府 办 公 类 网 站 。 企 业 办 公事 务 类 网 站 主要 包括 
企业 办 公事 务 管理 系统 .人 力 资源 管理 系统 ,办公 成 本 管理 系统 和 网 站 管理 系统 等 。 政 府 办 
公 类 网 站 利用 外 部 政务 网 与 内 部 局 域 办 公 网 络 连接 而 进行 业务 的 处 理 。 其 基本 功能 有 : 提 
供 多 数据 源 接口 ,整合 业务 系统 的 数据 和 发 布 管理 复杂 的 信息 。 政 府 网 站 既 可 提供 办 事 指 
南 ,政策 法 规 和 动态 信息 等 ,又 可 提供 网 上 的 行政 业务 申报 、 办 理 以 及 相关 数据 查询 等 。 

6) 互动 游戏 网 站 

互动 游戏 网 站 是 随 着 网 站 服务 端的 海量 数据 存储 和 交互 功能 的 提高 而 发 展 起 来 的 新 兴 
网 站 。 此 类 网 站 的 结构 是 根据 所 承载 的 互动 游戏 的 复杂 程度 而 定 的 。 

T) 有 偿 资讯 类 网 站 

有 偿 资 讯 类 网 站 以 有 偿 提 供 资 讯 为 主要 业务 。 这 类 网 站 的 业务 模型 一 般 要 求 访问 者 按 
次 ,按时 间或 按 量 付费 。 

8) 功能 性 网 站 

功能 性 网 站 近年 来 兴起 的 一 种 应 用 最 广泛 的 网 站 ,其 主要 特征 是 将 一 个 需求 非常 广泛 
的 功能 进行 扩展 ,并 开发 出 与 其 相应 的 支撑 体系 。Google 和 百度 就 是 其 典型 代表 。 

9) 综合 类 网 站 

综合 类 网 站 提供 两 种 或 以 上 的 服务 ,但 网 站 中 不 同 的 服务 是 由 不 同 的 服务 商 提供 的 ,在 
其 首页 中 便 体现 出 所 提供 的 服务 ,如 新 浪 和 搜狐 。 

由 于 网 站 的 不 同 ,其 提供 的 服务 ,访问 量 和 影响 也 不 尽 相 同 ,网 站 的 可 信和 性 也 依赖 于 这 
些 不 同 的 因素 。 如 政府 网 站 是 我 国 各 级 政府 机 关 履 行 职能 、 面 向 社会 提供 服务 的 官方 网 站 ， 
其 信任 度 必 定 高 于 社区 网 站 。 同 时 ,交易 类 网 站 由 于 其 涉及 参与 用 户 的 经 济 利 益 , 有 国家 相 
关 法 律 法 规 进行 限制 , 故 信任 度 要 高 于 游戏 类 网 站 。 若 要 将 网 站 的 分 类 引入 模型 ,就 需要 对 
不 同 的 网 站 类 型 进行 信任 性 比较 ,本 节 综 合 网 站 的 影响 、 涉 及 的 经 济 利益 、 访 问 量 以 及 政策 
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限制 来 对 不 同 的 类 型 的 网 站 进行 分 类 。 分 类 的 结果 如 表 8.5 所 示 。 
表 8.5 网 站 类 别 可 信 性 次 序 
网 站 类 别 
办 公 及 政府 机 构 网 站 ,交易 类 网 站 有偿 资 讯 类 网 站 
企业 品牌 类 网 站 ,资讯 门户 类 网 站 .功能 性 网 站 
互动 游戏 网 站 、 社 区 网 站 


2. 网 站 的 安全 漏洞 

随 着 计算 机 技术 和 网 络 技术 的 飞速 发 展 ,以 及 网 络 黑客 软件 的 易 操 作 性 和 易 获 得 性 的 
提高 ,使 得 网 站 暴露 出 越 来 越 多 的 漏洞 。 这 些 漏洞 轻 则 影响 用 户 的 使 用 和 网 站 的 管理 , 重 则 
会 导致 用 户 敏 感 数 据 的 丢失 和 服务 器 的 崩溃 ,从 而 导致 用 户 利益 受 损 和 网 站 运营 商 经 济 利 
益 的 损失 。 由 于 这 些 漏洞 均 会 对 用 户 和 网 站 运营 商 造成 损害 ,因此 本 节 模 型 将 网 站 的 漏洞 
作为 影响 网 站 信任 评价 模型 的 因素 。 

参考 OWASP 的 webgoat, 网 站 的 漏洞 大 致 可 分 为 如 下 17 种 。 

D 访问 控制 漏洞 (access control flaws) 

访问 控制 漏洞 包括 基于 访问 控制 的 旁 路 (bypass a path based access control scheme) 和 
远程 用 户 登录 (remote admin access) 。 基 于 访问 控制 的 旁 路 是 运用 .. /这 个 跳 转 字符 来 跳 
转 到 服务 器 的 上 层 目 录 中 ,可 能 造成 未 授权 用 户 进行 越权 浏览 ;远程 用 户 登 录 是 运用 与 
admin 字段 相同 的 字段 或 运用 字典 来 猜测 网 站 的 后 台 管 理 员 登 录 界 面 。 

2) AJAX 安全 性 (AJAX Security) 

此 类 漏洞 包括 基于 DOM 的 跨 站 脚本 攻击 或 注入 (DOM-based cross-site scripting or 
injection) 无声 交易 攻击 (silent transactions attacks) , eval 的 不 安全 用 法 和 不 安全 的 客户 
Jj (f fifi insecure client storage) 。 

基于 DOM 的 跨 站 脚本 攻击 , 即 在 DOM 中 插入 恶意 代码 ,如 过 img sre = x 
onmouseover= ; ; xxxxCxxxx?) / 2 , n] ARTIA SCA f A HE | iii F DOM 的 注入 则 是 
TE DOM,XML 和 JSON 中 注入 代码 。 无 声 交易 攻击 是 指 交易 中 如 果 网 页 中 的 应 用 允许 简 
单 的 URL 提交 ,在 AJAX 中 后 果 会 更 加 严重 , 即 在 交易 的 过 程 中 和 交易 后 ,用 户 收 不 到 任 
何 反馈 页 面 。PHP 中 eval 的 用 法 可 以 允许 用 户 输 入 代码 ,一 旦 用 户 输入 的 是 恶意 攻击 代 
码 , 如 123) ;alert(document. cookie);(', 则 可 进行 脚本 攻击 。 存储 在 客户 端的 数据 可 以 被 
软件 (如 Firebug) 轻 易 地 得 到 。 

3) 认证 漏洞 Cauthentication flaws) 

认证 漏洞 是 比较 简单 的 一 类 漏洞 ,其 中 包括 密码 的 强度 (password strength) 丢失 密码 
的 取 回 过 程 漏洞 .授权 码 不 严密 和 多 重 登录 。 

其 中 密码 强度 是 众所周知 的 漏洞 .最 近 的 Oracle Pending 正 是 由 于 管理 员 只 用 4 位 数 
字 作 为 密码 而 造成 巨大 的 经 济 损失 。 在 找 回 密码 的 过 程 中 可 以 通过 拦截 软件 修改 找 回 密码 
的 使 用 者 ,从 而 获得 其 他 用 户 的 密码 。 授 权 码 不 严密 是 指 在 用 户 得 到 授权 之 后 ,服务 器 端 通 
过 一 定 的 算法 计算 出 授权 码 对 用 户 进行 授权 ,而 简单 的 算法 会 使 授权 码 被 破解 ,从 而 达到 提 
权 的 效果 。 多 重 登录 指 通过 拦截 软件 进行 多 重 登录 从 而 得 到 其 他 用 户 的 信息 的 过 程 。 
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4) 缓冲 溢出 (buffer overflows) 

缓冲 溢出 是 通过 向 缓存 中 发 送 超出 其 所 能 承载 量 的 数据 而 导致 缓冲 溢出 至 其 他 内 存 
区 ,而 造成 任意 代码 的 执行 。 

5) 源 代 码 质量 (code quality) 

开发 者 往往 在 页 面 中 留 有 对 自己 的 代码 相关 的 注释 等 敏感 信息 ,使 得 恶意 用 户 可 通过 
浏览 其 源 代码 而 得 到 攻击 的 线索 。 

6) 同时 登录 (concurrency) 

同时 登录 漏洞 一 般 是 由 于 存在 线程 安全 问题 (thread safety problems) 和 不 同 的 浏览 器 
不 兼容 问题 。 线 程 不 安全 可 能 造成 不 同 用 户 同时 登录 时 ,用 户 可 以 浏览 其 他 用 户 的 信息 。 
而 同一 用 户 使 用 两 个 不 同 的 浏览 器 时 ,可 能 造成 网 页 中 表单 数据 的 变化 。 

7) 跨 站 脚本 (cross-site scripting XSS) 

跨 站 脚本 攻击 是 目前 最 流行 的 攻击 方法 之 一 ,通过 跨 站 脚本 攻击 ,黑客 可 以 实现 很 多 目 
标 , 如 钓鱼 和 转账 等 。 跨 站 脚本 攻击 包含 很 多 类 型 ,其 中 有 钓鱼 跨 站 攻击 (phishing with 
XSS) ,存储 式 跨 站 攻击 (stored XSS attacks) ,反射 跨 站 攻击 (reflected XSS attacks) 、. 跨 站 请 
求 伪 造 (Cross Site Request Forgery.CSRF).、 通 过 跨 站 请 求 伪 造 来 绕 过 认证 (CSRF prompt 
by-pass) .通过 跨 站 请 求 伪 造 Token 绕 过 以 及 跨 站 追踪 攻击 (cross site tracing XST 
attacks) 。 

钓鱼 跨 站 攻击 是 通过 跨 站 脚本 使 浏览 者 浏览 的 链接 弹出 钓鱼 表单 或 页 面 用 以 骗取 用 户 
的 银行 卡 、 信 用 卡 或 其 他 账户 的 用 户 名 和 和 密码。 存储 式 跨 站 攻击 通过 将 跨 站 脚本 插入 到 服 
务 器 端的 表单 或 页 面 中 使 浏览 该 表单 或 页 面 的 用 户 受到 攻击 。 此 种 攻击 的 效果 非常 厉害 ， 
如 果 存 储 式 跨 站 发 生 在 知名 人 士 的 博客 或 微 博 中 ,所 有 浏览 的 人 都 会 受到 攻击 。 反 射 跨 站 
攻击 是 通过 向 受害 者 发 送 一 段 代 有 脚本 代码 的 链接 , 当 受害 者 点 击 链接 的 时 候 , 跨 站 攻击 便 
成 功 了 。 跨 站 请 求 伪 造 是 指 用 户 在 某 个 会 话 中 对 某 个 CGI 进行 操作 时 身份 认证 信息 被 动 
持 或 算 改 ,使 得 攻击 者 得 到 受 攻击 者 的 权限 或 认证 的 一 种 攻击 。 通 常 的 做 法 是 通过 脚本 代 
码 使 受害 者 载 人 一 个 包含 链接 的 图 片 , 当 受 害 者 的 浏览 器 试图 解析 图 片 链 接 时 , 即 实 现 图 片 
链接 中 的 功能 ,如 转账 等 ,然而 发 送 转账 请 求 时 用 的 是 受害 者 的 Cookie, 也 就 是 以 受害 者 的 
身份 进行 的 。 还 可 通过 跨 站 请 求 伪造 得 到 Cookie 或 Token, 从 而 达到 绕 过 认证 来 实现 恶意 
目标 。 跨 站 追踪 攻击 是 融合 跨 站 脚本 和 HTTP Trace 功能 的 一 种 攻击 。 

8) 拒绝 服务 攻击 (Denial of Service) 

拒绝 服务 攻击 即 向 受害 主机 发 送 超过 其 接受 量 的 请 求 . 使 被 攻击 方 资源 耗 尽 (CPU 满 
负荷 或 内 存 不 足 ) ,从 而 导致 其 无 法 提供 服务 的 攻击 。 

9) 错误 不 当 人 处理 (improper error handling) 

在 网 页 中 出 现 错误 在 所 难免 ,但 如 果 处 理 不 当 , 则 可 能 导致 暴露 出 敏感 信息 的 结果 。 如 
JSP 服务 器 中 ,Fail Open Authentication Scheme 在 Java 代码 中 的 异常 处 理 程 序 执行 身份 
验证 成 功 的 catch 块 出 现 异 常 时 (可 能 因为 存在 一 个 NullPointer 异常 ), 如 果 处 理 不 当 , 则 
可 能 暴露 密码 参数 。 

10) 注入 漏洞 (injection flaws) 

注入 是 目前 漏洞 中 危险 性 最 大 的 漏洞 之 一 ,由 于 注入 攻击 简单 易 用 ,并 且 手 法 灵活 ,其 
攻击 形式 看 起 来 与 Web 页 面 访问 相同 ,从 而 使 得 注入 攻击 很 难 被 防火 墙 所 发 现 ,再 通过 巧 
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妙 构造 的 注入 语句 ,可 以 实现 窃取 资料 .执行 命令 等 多 种 用 途 。 本 节 主 要 关注 SQL 注入 。 

注入 攻击 的 类 别 很 多 ,主要 包括 命令 注入 (command injection) 数字 型 注入 (numeric 
SQL injection) 日志 欺骗 (log spoofing), XPATH 注入 (XPATH injection) ,字符 型 注入 
(string SQL injection) , f Pic. 添加 或 删除 数据 (modify, add or delete data with SQL 
injection) 和 数据 库 后 门 (aatabase backdoors) 。 

SQL 命令 注入 通过 注入 来 实现 命令 执行 ,最 简单 的 如 上 面 所 提 到 的 用 .. /来 跳 转 目录 。 
数字 型 注入 就 是 存在 注入 的 字段 是 数字 类 型 的 ,如 连接 类 型 为 http://www. asdf. com?id 一 
1, 可 在 数字 类 型 的 1 后 面 插入 SQL 语句 。 字 符 类 型 的 注入 类 似 于 数字 型 的 注入 ,只 是 可 注 
入 的 字段 类 型 为 字符 型 。 日 志 欺 骗 即 在 查询 语句 中 插入 CRLF 换行 和 要 插入 的 虚假 日 志 
用 以 迷惑 管理 员 , 既 可 以 通过 SQL 注入 来 插入 查询 条 件 , 也 可 以 通过 插入 如 modify、add 和 
delete 来 修改 .添加 和 删除 数据 库 中 的 信息 。 数 据 库 后 门 则 是 通过 在 数据 库 中 插入 一 段 代 
码 来 实现 的 后 门 功能 。 

11) 不 安全 通信 (insecure communication) 

不 安全 通信 和 即 通信 时 发 送 明文 或 弱 的 加 密 法 加 密 的 敏感 信息 。 这 样 的 报 文 一 旦 被 拦 
截 , 被 解密 的 可 能 非常 大 。 

12) 不 安全 配置 (insecure configuration) 

未 启用 安全 的 配置 或 配置 文件 的 文件 名 未 做 修改 ,如 比较 敏感 的 conn. asp ,这 样 很 容 
易 使 配置 文件 被 攻击 者 获得 而 造成 损失 。 

13) 不 安全 存储 (insecure storage) 

对 于 存储 在 数据 库 中 的 敏感 信息 ,如 管理 员 账 号 和 密码 ,未 加 密 或 用 弱 的 加 密 法 加 密 ， 
攻击 者 通过 暴 库 轻而易举 地 得 到 管理 员 信 息 。 

14) 恶意 执行 (malicious execution) 

恶意 执行 是 指 网 站 中 允许 上 传 文件 的 地 方 如 未 做 限制 而 导致 攻击 者 上 传 恶意 软件 或 木 
马 。 如 上 传 照片 的 表单 通过 修改 表单 的 限制 值 可 能 使 得 木马 上 传 成 功 。 

150 S (parameter tampering) 

由 于 网 页 代码 编写 不 严谨 导致 网 页 参数 遭 到 算 改 。 一 般 包 括 绕 过 HTML 域 限制 
(bypass HTML field restrictions)、 隐 藏 域 发 现 Cexploit hidden fields) 和 绕 过 客户 端 
JavaScript 认证 (bypass client side JavaScript validation) 。 

绕 过 HTML 域 限 制 即 在 网 页 代码 中 对 某 些 字段 的 限制 只 在 页 面 中 的 某 些 属性 中 做 限 
制 , 通 过 修改 限制 值 (如 将 false BUR true) 就 可 修改 网 页 中 发 送 的 参数 。 隐 藏 域 发 现 是 指 在 
网 页 中 通过 设置 隐藏 字段 来 限制 一 些 属性 或 提示 一 定 的 信息 ,只 要 通过 拦截 软件 或 直接 阅 
读 源 代 码 即 可 发 现 隐 藏 字 段 , 获 得 敏感 信息 。 绕 过 客户 端 JavaScript 认证 是 通过 修改 网 页 
中 发 送 请 求 的 参数 来 绕 过 JavaScript 客户 端的 认证 。 

16) 会 话 管理 漏洞 (session management flaws) 

此 类 漏洞 的 发 生 是 由 于 未 对 会 话 过 程 做 周密 的 考虑 ,从 而 使 得 认证 Cookie 被 仿造 或 会 
话 被 劫持 (hijack a session) 和 算 改 (session fixation) 。 由 于 未 考虑 到 复杂 性 和 随机 性 的 安 
全 问题 ,从 而 造成 会 话 被 劫持 ,造成 中 间 人 攻击 .或 者 攻击 者 得 到 用 户 的 sessionID 从 而 绕 
过 认证 。 
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17) 网 络 服务 漏洞 C(Web Services flaws) 

本 节 提 到 的 网 络 服务 漏洞 指 网 络 服务 中 运用 SOAP 发 送 请 求 ,这 些 请 求 的 发 送 是 为 了 
执行 某 种 由 网 络 服务 定义 语言 (WSDL) 定 义 的 功能 。 通 过 在 URL 后 面 简单 地 添加 
“?WSDL” 就 可 以 浏览 WSDL 文件 ,导致 重要 信息 的 丢失 。 注 入 也 可 能 发 生 在 此 种 情况 中 ， 
如 果 输 入 完全 由 网 络 服务 的 前 端 限制 ,那么 注入 可 能 损坏 网 页 界面 发 送 的 XML。 

由 于 拒绝 服务 攻击 是 由 于 网 络 协议 本 身 的 安全 缺陷 造成 的 ,所 以 在 本 节 中 采用 其 余 16 
种 漏洞 作为 评价 因素 。 由 于 以 上 每 种 漏洞 均 可 能 造成 轻 度 的 损失 或 严重 的 损失 ,这 给 评价 
工作 带 来 了 困难 。 因 此 本 节 采 用 OWASP 在 2012 年 提出 的 2010 年 十 大 应 用 程序 安全 风险 
来 对 以 上 列 出 的 网 站 漏洞 进行 评价 打分 ,用 以 确定 漏洞 的 危险 级 别 。 这 样 不 仅 可 使 模型 的 
数据 有 据 可 依 , 还 可 以 保证 模型 因素 的 时 效 性 。 确 定 漏洞 的 危险 级 别 后 ,可 依 此 构造 比较 矩 
阵 , 从 而 计算 一 个 漏洞 在 模型 中 所 占 的 权重 值 。 

根据 OWASP 的 2010 年 十 大 应 用 程序 安全 风险 ,风险 程度 由 高 到 低 依次 为 注入 、 跨 
站 、 失 效 的 身份 认证 和 会 话 管理 ,不 安全 的 直接 对 象 引 用 、CSRF 安全 配置 错误 不 安全 的 
加 密 存 储 、 没 有 限制 URL 访问 、 传 输 层 保 护 不 足以 及 未 验证 的 重 定向 和 转发 。 

风险 名 称 、 存 在 风险 的 漏洞 编号 以 及 风险 分 值 如 表 8. 6 所 示 。 

表 8.6 漏洞 风险 评分 


风险 名 称 存在 此 风险 的 漏洞 编号 
注入 
p 
失效 的 身份 认证 和 会 话 管理 
不 安全 的 直接 对 象 引用 
CSRF 
安全 配置 错误 
不 安全 的 加 密 存 储 
没有 限制 的 URL 访问 
传输 层 保护 不 足 
未 验证 的 重 定向 和 转发 


5,9 


通过 表 8. 6 对 漏洞 进行 风险 评价 打分 ,评价 后 的 漏洞 如 表 8.7 Bron. 
表 8.7 漏洞 危险 性 排序 


分 值 
编号 
次 序 


3. 网 站 的 安全 制度 

网 站 的 信任 度 不 仅 取决 于 网 站 硬件 设备 的 精良 或 网 站 代码 的 质量 ,还 要 依靠 体系 化 的 、 
完善 的 制度 。 一 个 合理 的 | 有效 的 、 适 宜 的 制度 能 规范 员工 的 行为 ,提高 员工 的 工作 效率 和 
质量 ,从 而 提高 内 部 的 安全 性 。 正 如 我 们 所 知 , 即 使 网 站 备 有 宽敞 的 机 房 和 先进 的 设备 ,也 
无 法 抵挡 网 站 内 部 维护 人 员 的 误 操作 或 违规 操作 。 因 此 网 站 的 安全 制度 也 是 网 站 信任 度 的 
决定 性 因素 ,而 此 项 因素 却 常常 被 忽略 。 因 此 :本 节 提 出 将 网 站 的 安全 制度 引入 网 站 信任 评 
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价 模型 中 。 

目前 还 没有 统一 的 、 系 统 的 网 站 安全 制度 ,可 以 参考 的 多 是 学 校 和 企业 的 网 站 安全 制 
度 。 安 全 制度 是 依照 法 律 ,法令 和 政策 制定 的 具有 约束 力 的、 保证 正常 工作 开展 的 应 用 文 
档 。 其 编制 要 考虑 到 自身 的 各 种 因素 .依据 法 律 法 规 并 且 要 在 制度 施行 期 间 不 断 地 修改 和 
完善 。 同 时 网 站 安全 制度 也 有 其 适用 群体 ,安全 性 要 求 较 高 的 网 站 运营 商 应 制定 更 高 的 标 
准 。 网 站 安全 制度 包括 的 方面 广 :各 种 规定 细致 ,并 且 要 根据 不 同 的 网 站 制定 相应 的 安全 制 
度 。 因 此 本 节 仅 简单 拟定 网 站 安全 制度 框架 ,用 以 在 宏观 上 将 网 站 的 安全 制度 引入 评价 模 
型 中 。 综 合 各 高 校 和 企业 的 网 站 安全 制度 ,本 节 提 出 如 图 8.2 所 示 的 网 络 安全 制度 框架 。 


网 站 安全 制度 
网 站 安全 审计 制度 网 站 安全 管理 制度 网 站 安全 责任 制度 
| | 
安全 FIE 机 AIE 安全 | | 安全 
事故 全 || 全 5 全 | | 全 运营 | | 运营 
报告 iz || 培 安 运 | | 技 奖惩 | | 责任 
和 调 营 || 训 全 营 | | 术 和 责 | | 保障 
查处 els 管 会 | | 措 fou || 金 抽 
理 制 £k p X || 施 sob || n 
n 制 | | 制 制 二 度 
EE 度 ME 
度 | | 度 


8.2 网 站 安全 制度 


8.3.3 ATEMW 模型 框架 及 模型 检验 


网 站 为 网 络 用 户 提供 资讯 和 服务 ,由 于 不 同类 型 的 网 站 ,存在 不 同 漏洞 的 网 站 和 不 同安 
全 制度 的 网 站 有 着 不 同 的 信任 度 ,为 了 更 好 地 评价 网 站 的 信任 度 ,本 节 将 网 站 的 类 型 .网 站 
的 各 种 漏洞 以 及 网 站 的 安全 制度 引入 评价 模型 中 ,建立 一 种 基于 AHP 的 网 站 信任 评价 模 
型 (简称 ATEMW)。 

1. ATEMW 模型 框架 

本 节 模 型 中 影响 网 站 信任 度 的 因素 分 为 3 个 方面 : 网 站 的 类 型 .网 站 的 安全 漏洞 以 及 
网 站 的 安全 制度 。 目 标 层 和 准则 层 的 结构 如 图 8. 3 所 示 。 


网 站 可 信 度 


| 网站 的 类 型 ]  [ 网 站 的 安全 汤 洞 | | 网 站 的 安全 制度 ] 


图 8.3 ATEMW 模型 框架 
准则 层 中 的 3 个 方面 包含 各 自 的 子 准则 层 。 网 站 的 类 型 分 为 办 公 及 政府 机 构 网 站 、 交 
易 类 网 站 .有 偿 资讯 类 网 站 、 企 业 品牌 类 网 站 资讯 门户 类 网 站 功能 性 网 站 、 互 动 游戏 网 站 
和 社区 网 站 。 网 站 分 类 结构 如 图 8. 4 所 示 。 
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机 构 网 站 网 站 
图 8.4 网 站 分 类 结构 


根据 8. 3. 2 节 所 述 , 网 站 的 漏洞 包括 访问 控制 漏洞 .AJAX 安全 性 、 认 证 漏洞 .代码 质 
量 、 缓 冲 溢出 、 同 时 登录 、 跨 站 脚本 、 错 误 不 当 处 理 、 注 入 漏洞 .不 安全 通信 不 安全 配置 .不安 
全 存储 恶意 执 行 ,参数 自 改 ,会话 管理 漏洞 和 网 络 服务 漏洞 。 网 站 漏洞 结构 如 图 8.5 所 示 。 


访问 控制 漏洞 
AJAX 安 全 性 
认证 漏洞 
代码 质量 
缓冲 溢出 
同时 登录 
跨 站 脚本 
网 站 漏洞 E 错误 不 当 处 理 
\ 注入 漏洞 
不 安全 通信 
不 安全 配置 
不 安全 存储 
恶意 执行 
参数 算 改 
会 话 管理 漏洞 
网 络 服务 漏洞 
图 8.5 网 站 漏洞 结构 


网 站 安全 制度 包括 的 内 容 如 8. 3. 2 节 所 述 , 其 图 形 可 参考 图 8. 2 。 


2. ATEMW 建 模 及 检验 

网 站 信任 评价 不 同 于 软件 的 信任 评价 ,但 与 其 类 似 。 不 同 的 人 使 用 相同 的 软件 来 实现 
不 同 的 目的 ,一 般 的 软件 可 以 由 客户 进行 配置 ,由 此 实现 不 同 客户 所 需 的 功能 。 但 网 站 绝 大 
多 数 的 配置 是 在 服务 端 进行 的 , 极 少 数 的 客户 端 配置 也 只 是 界面 的 变化 。 由 本 节 前 面 的 内 
容 可 知 ,网 站 的 信任 度 不 仅仅 取决 于 网 站 的 类 型 和 网 站 的 漏洞 .还 取决 于 网 站 的 安全 制度 。 

D 构造 判断 矩阵 

要 运用 AHP 方法 对 网 站 的 信任 度 进行 评价 ,就 要 对 不 同 因素 确定 其 重要 性 顺序 ,用 来 
作为 计算 因素 的 权重 。 表 8. 5 和 表 8. 7 已 经 将 网 站 的 类 型 和 网 站 的 漏洞 进行 了 重要 性 排 
序 。 本 节 中 同样 使 用 9 度 标 度 法 (参见 表 8. 1) 。 由 于 在 本 节 的 前 面 已 经 将 网 站 的 类 型 和 网 


iuo 
z 信任 管理 与 网 络 安全 


站 的 漏洞 的 重要 性 顺序 排列 完成 ,下 面 的 工作 就 是 用 重要 性 排序 来 构造 比较 和 矩阵。 构造 比 


较 和 矩阵 的 方法 同 8. 2 节 。 


由 于 网 站 的 信任 度 取决 于 3 种 因素 : 网 站 的 类 别 、 网 站 的 漏洞 以 及 网 站 的 安全 制度 。 
这 3 者 属于 不 同 的 方面 并 且 对 网 站 的 信任 度 都 有 着 重要 的 影响 作用 。 经 过 对 一 定数 量 的 受 
访 者 进行 调查 , 绝 大 多 数 的 人 认为 以 上 三 者 对 网 站 的 信任 度 有 着 相同 的 作用 ,三 者 并 不 存在 


重要 性 的 次 序 问 题 。 因 此 ,准则 层 的 比较 矩阵 Z 为 
3 d 4 
Z= h id 


ü i1 


软件 类 别 的 信任 度 标 度 由 其 可 行 性 级 别 决定 ,为 了 计算 简单 ,在 本 节 中 采用 标 度 的 最 后 


3 个 标 度 来 确定 。 网 站 类 别 标 度 确定 如 表 8. 8 所 示 。 


表 8.8 网 站 类 别 标 度 确定 


网 站 类 别 
办 公 及 政府 机 构 网 站 交易 类 网 站 有偿 资讯 类 网 站 
企业 品牌 类 网 站 资讯 门户 类 网 站 功能 性 网 站 
互动 游戏 网 站 、 社 区 网 站 


网 站 类 别 的 各 种 因素 序列 为 办 公 及 政府 机 构 网 站 、 交 易 类 网 站 、 有 偿 资 讯 类 网 站 ,企业 
品牌 类 网 站 、 资 讯 门户 类 网 站 ,功能 性 网 站 、 互 动 游 戏 网 站 和 社区 网 站 。 


因此 可 知 网 站 类 别 的 比较 矩阵 C. 为 


I d 1-2 2 2 
1. 1 14 2 2 2 
p d. $1 à 2 -2 
bo dX. o4 
77711] 
1 1 .1 

GG 二 | z7 z7 1! 1 
Lb I d 
7777-711 
Lo do o.1. i1 l 4 
9. 3. S 2 2 3 
Dp 1 1 g- f 
3. Ww 2a 2 2 2 


由 8.3.2 节 的 结果 可 知 ,通过 OWASP 公布 的 十 大 风险 对 漏洞 进行 打分 和 排序 ,这 样 


不 仅 简 化 了 指标 体系 保证 了 指标 的 时 效 性 。 根 据 OWASP 发 布 的 2010 年 十 大 应 用 程序 安 
全 风险 ,风险 程度 由 高 到 低 依次 为 注入 、 跨 站 、 失 效 的 身份 认证 和 会 话 管理 .不 安全 的 直接 对 
象 引 用 、CSRF .安全 配置 错误 ,不 安全 的 加 密 存储 、 没 有 限制 URL 访问 、 传 输 层 保护 不 足以 
及 未 验证 的 重 定向 和 转发 。16 种 漏洞 由 以 上 十 大 风险 打分 并 排序 以 适合 AHP 方法 ,如 
表 8.7 得 出 顺序 。 由 于 有 两 大 风险 出 现在 同一 漏洞 中 , 故 网 站 漏洞 的 相对 比较 矩阵 应 为 


9X9 和 抢 阵 。 因 此 ,网 站 漏洞 的 相对 比较 和 矩阵 C; 为 
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apese TEN 
412345678 
iiicrasas 67 
i4123 4 .546 
a-IetYirbrsras 
»biiiirgga 
T3. 4.3935 
vn 
1l 1 1 1] 1) 1] .) i | 
9 8759523052 


由 8.3. 2 节 可 知 ,网 站 的 信任 度 取决 于 网 站 的 安全 制度 。 但 是 网 站 的 安全 制度 是 一 个 
整体 ,并 且 制 度 的 不 同 规定 之 间 没 有 轻重 之 分 ,对 制度 的 评价 只 能 是 完善 与 否 ,是 否 有 应 用 
价值 ,是 否 能 够 使 使 用 制度 的 主体 达到 预期 的 效果 。 对 于 制度 的 评价 取决 于 制度 所 产生 的 
影响 , 即 是 否 可 以 使 应 用 制度 的 主体 达到 预期 的 效果 ,但 要 达到 预期 效果 需要 一 个 过 程 ,在 
此 过 程 之 中 发 现 制度 中 的 不 足 并 对 其 进行 修改 和 完善 。 因 此 ,对 于 制度 的 评价 并 非 一 个 时 
点 值 ` 有 一 套 体系 ,而 是 一 个 制度 完善 的 过 程 。 所 以 在 本 节 模 型 中 ,对 于 制度 的 评价 只 给 安 
全 制度 一 个 权重 ,只 初步 判断 其 是 否 有 相对 完善 的 制度 存在 。 

2) 计算 权重 值 并 检验 

通过 对 比较 矩阵 进行 处 理 , 从 而 得 到 矩阵 的 最 大 特征 根 对 应 的 特征 向 量 , 对 特征 向 量 进 
行 归 一 化 处 理 后 的 向 量 的 每 个 元 素 就 是 要 求 的 权重 值 。 特 征 向 量 的 求解 步骤 如 下 。 

COD 判断 矩阵 每 列 归 一 化 : 


a; = ——L— (i,j= 1,2,.,n) 


其 中 ,为 准则 层 B, G— 1,2. o d FER d HO RE DUE 
(2 矩阵 的 元 素 按 行 相 加 : 
W; = X aj (isj —1,2,,n) 
C3) 相 加 后 的 向 量 归 一 化 : 
W: = w: G.j = 01.2.7.) 
AW 


一 至 性 验证 运用 AHP 方法 通用 的 验证 方法 , 即 求 得 一 致 性 比率 CR 一 册 。 当 CR<-0.1 
时 , 则 认为 判断 矩阵 具有 满意 的 一 致 性 ,或 者 其 不 一 致 的 程度 是 在 可 接受 的 范围 内 ;否则 调 
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整 判断 矩阵 直到 其 达到 满意 的 一 致 性 为 止 。 
分 别 对 比较 矩阵 ZC, 和 Cs 进行 求解 。 
1 1 1 


pow d 
Wz = [0.33 0.33 0.33] 


判断 矩阵 的 最 大 特征 根 lw: 一 1 ,一致 性 指标 CIO. CR— ET—-0. MRE EIERNE. 


rl 2 2 2 dom 

1 2 2 2. 39.9 

1 2 2 2 3 3 

1 

772 7 1.2 2 

1 
区 二 | 去 地 全 i o» $3 

1 

77 7 1.2; 2 

1 1 

357757327771! 

1 

[本 本 11 
Wa = o. 1918 0.1918 0.1918 20.1032 0.1032 0.1032 0.0574 0.0574] 
判断 矩阵 的 最 大 特征 根 lu. = 8. 0124, — SEHE CI 一 0. 0018, CR =E} =0. 0013< 


0. 1。 和 矩阵 达到 一 致 性 标准 。 


14 2 3^ 4 .5 6. 7 8$ 39 
1 m 
2; 12.3456 7 8 
i 1 - 
3 7 2 39 4 5 6 7 
4. | 去 
1753 7 2^3 4 5 6 
1 1 É 
Gals 45 7 2 3 4 5 
1 4d 
sprega 4 € wt 
l 1 1 
res pg zZz B5 
i. 1 1. 1 
8 769652575 1^? 
1 1 1 d a4 
9 38 7 6 4 3$ 2 
Lo 


We, = [0.3070 0.2182 0.1543 0.1089 0.0764 0.0533 0.0370 0.0259 0. 0189] 


LS 
第 8 章 ”信任 管理 与 网 络 诚信 建设 


判断 矩阵 的 最 大 特征 根 A 二 9. 4038, 一 致 性 指标 CI 一 0. 0505 ,CR 一 外 一 0 0384-0. 1。 拓 
阵 达 到 一 致 性 标准 。 

3) 信任 度 的 计算 

在 得 到 各 个 因素 的 信任 度 贡 献 值 和 权重 后 ,准则 层 中 各 个 类 别 的 信任 度 由 其 包括 的 子 
准则 层 数据 计算 得 出 : 


ie 2G 0. (d — 1,24. im dena j= 1,2, mn) 


在 本 模型 中 13m 3.3.8.9, 
在 得 出 准则 层 中 各 个 类 别 的 信任 度 后 ,目标 层 的 信任 度 工 则 可 由 准则 层 数 据 计算 得 出 


T= LAI (p = 1,2, q) 
本 模型 中 ;二 2,g 一 3。 
8.83.4 实例 分 析 


由 于 本 节 中 的 模型 是 对 于 网 站 信任 度 的 评价 模型 , 故 需 要 对 相应 的 网 站 进行 数据 采集 。 
网 站 的 类 别 和 网 站 的 制度 可 以 通过 从 各 个 方面 搜集 信息 而 得 到 相关 的 数据 进行 评价 。 但 在 
检验 网 站 漏洞 的 时 候 必然 要 加 上 测试 字段 来 检验 漏洞 是 否 存在 ,与 此 同时 就 会 对 网 站 造成 
不 同 的 影响 。 如 存储 式 跨 站 漏洞 一 旦 成 功 , 难 免 会 有 存在 漏洞 的 网 页 被 浏览 的 可 能 ,从 而 造 
成 访问 者 看 到 测试 漏洞 页 面 。 一 旦 这 样 的 情况 发 生 , 不 仅 会 使 访问 者 对 该 网 站 产生 反感 ,也 
会 影响 网 站 的 维护 工作 。 因 此 ,在 本 节 中 通过 虚拟 机 搭建 两 个 不 同 的 网 站 用 于 测试 。 考 虑 
到 网 站 的 服务 器 可 能 不 尽 相同 ,比较 经 典 的 服务 器 包括 ASP 服务 器 .PHP 服务 器 和 JSP 服 
务 器 ,因此 本 节 中 搭建 两 种 服务 器 (ASP 服务 器 和 PHP 服务器) 用 于 建立 站 点 以 进行 测试 ， 
在 ASP 服务 器 中 建立 动力 空间 ,在 PHP 服务 器 中 建立 一 个 PHPWind 论坛 。 


l. 搭建 网 站 并 获取 数据 

首先 ,我 们 搭建 比较 流行 的 ASP 服务 器 ,由 于 本 节 中 建立 的 站 点 规模 不 是 很 大 ,同时 
Access 数据 库 具有 安装 简便 、 占 用 的 空间 小 等 优点 。 因 此 ,本 节 采 用 的 是 ASP 十 Access 技 
术 。 运 用 IIS 搭建 动力 空间 ,网 站 名 称 为 ATEMWinIIS, 如 图 8. 6 所 示 。 

运用 虚拟 机 的 端口 映射 技术 将 端口 映射 到 实体 机 ,运用 扫描 软件 对 其 进行 扫描 ,得 到 漏 
洞 数据 ,如 图 8.7 所 示 o 

经 过 验证 可 知 ,实际 漏洞 为 7 个 跨 站 脚本 编制 .5 个 跨 站 请 求 伪造 和 10 个 应 用 的 程序 
错误 。 由 表 8.7 可 知 漏洞 的 重要 性 可 知 ,危险 性 排序 为 跨 站 脚本 攻击 ;注入 漏洞 ;访问 控制 
漏洞 .认证 漏洞 .同时 登录 ,会话 管理 漏洞 ; 源 代码 质量 、 错 误 不 当 处 理 ; AJAX 安全 性 ,缓冲 
溢出 、 恶 意 执行 ;不 安全 配置 .不 安全 存储 ;网 络 服务 漏洞 ;不 安全 通信 ;参数 自 改 。 因 此 ,本 
节 按 照 漏洞 的 危险 性 计算 网 站 不 同 漏洞 的 贡献 值 。 由 于 存在 漏洞 属于 负面 影响 , 故 本 节 中 
将 漏洞 的 贡献 值 设置 为 负 值 。 其 分 值 分 别 是 一 4.5、 一 4、 一 3.5、 一 3、 一 2.5、 一 2、 一 1.5、 一 1、 
一 0.5, 如 表 8.9 所 示 。 
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m ES 索引 服务 

E Eg Internet 信息 服务 CIS)' 
D 应 用 程序 池 

EH) RIS 
B 


文章 | TE | B | 论坛 | 名言 | 十 Powz 


Count 
Database 
I 


D VploadFiles 
避 UploadPhotos 
LJ VploadSoft 


sooeoososcüpp 


d 
|| uo 应 用 程序 错误 (10) 


8.7 动力 空间 漏洞 


表 8.9 漏洞 及 贡献 值 


漏洞 编号 


贡献 值 G 


不 同 的 网 站 ,其 漏洞 的 类 型 和 数量 也 不 尽 相 同 。 在 本 节 的 模型 中 各 种 漏洞 贡献 值 G 的 
计算 方法 是 由 漏洞 的 数量 n 和 其 对 应 的 分 数 * 的 乘积 : 
G=nXs 
经 过 检验 可 知 跨 站 脚本 攻击 成 功 ; 隐 藏 目 录 均 返回 403 错误 ;暴露 出 的 应 用 错误 信息 可 以 了 
解 服务 器 的 相关 配置 。 因 此 可 知 各 漏洞 的 贡献 值 如 表 8. 10 所 示 。 
表 8.10 漏洞 贡献 值 加 总 表 
漏洞 错误 不 当 处 理 其 他 


贡献 值 C d —30 0 


其 次 ,我 们 搭建 PHP 服务 器 ,采用 的 是 Windows 2003 十 Apache 十 PHP 十 MySQL 的 组 
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L. 


合 。 安 装 的 软件 分 别 为 httpd-2. 2. 21-win32-x86-no. ssl. msiC Apache) , php-5. 2. 17- Win32- 


VC6-x86. msi PHP) , mysql-essential-5. 5. 17-m3-win32. msi MySQL) fll phpwind GBK - 
8. 7. zip. 

通过 对 Apache Software Foundation V Apache2. 2\conf\ httpd. conf 文件 中 添加 以 下 
代码 : 


LoadModule php5 module "C:/Program Files/PHP/php5apache2 2.dll" 
PHPIniDir "C:/Program Files/PHP" 
AddType application/x-httpd-php .php 


对 PHP 进行 配置 ,使 其 与 MySQL 连接 ,添加 后 重启 Apache 服务 器 ,安装 完成 。 搭 建 
服务 器 完成 后 ,创建 PHPWind 论坛 的 信息 如 图 8. 8 所 示 。 


phpwind «s UNTER 


1E Q rans Q sex 


BEFRA 

数据 库 服务 器 : [locslhost (| FEERGBHU, —R localhost 

BEERE: @ mysa C wsoL 

数据 库 用 户 各 : [root 

BRETH: [rmm = 

BERS: [rmm 

SEERNE: |AT_ RU ERIKU, R.—EUEIESCA SH odzamgee 
BIA GR. 


SERES: [ds 
S: |ATEMWW123 
重复 窑 码 : [mmis 


Email: |ATEMWGadnin. com 


mens E La. 


图 8.8 PHPwind 论坛 安装 


对 虚拟 机 中 新 建 的 PHPWind 论坛 通过 扫描 软件 进行 扫描 ,得 到 如 图 8. 9 所 示 的 漏洞 。 

但 经 过 验证 ,Flash 参数 的 允许 脚本 执行 设置 为 always 真正 存在 ;robots. txt 未 暴露 出 
站 点 结构 ;目录 列表 中 的 url 均 为 无 效 页 面 , 均 返回 403 错误 ;直接 访问 管理 页 面 均 返回 
forbidden。 因 此 可 知 各 漏洞 的 贡献 值 如 表 8. 11 所 示 。 


表 8.11 漏洞 贡献 值 加 总 表 


漏洞 不 安全 配置 其 他 
贡献 值 G 0 


由 于 不 同类 别 的 网 站 有 着 不 同 的 贡献 值 ,因此 改造 表 8. 5 得 到 不 同类 别 的 网 站 的 贡献 
值 ,如 表 8. 12 所 示 。 
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ED Flash 参数 人 LlovScripthecess 已 设置 为 always (4 
Ee ©) 


sum 
s 国 目录 列表 65. 
E E Robots. txt EA Yeb 站 点 结构 暴 可 有 2) 
67) 


WEER o5 
E & D EPI IerieripO Code 引用 o 
由 国 洪 在 文件 上 载 C) 


8.9 PHPWind 论坛 漏洞 


表 8.12 网 站 类 别 贡 献 值 


办 公 及 政府 机 构 网 站 ,交易 类 网 站 ,有偿 资讯 类 网 站 1 一 1 
企业 品牌 类 网 站 ,资讯 门户 类 网 站 、 功 能 性 网 站 2 2 一 2 
互动 游戏 网 站 、 社 区 网 站 3 3 —3 


由 于 在 本 节 模 型 中 影响 网 站 信任 度 的 因素 还 包括 网 站 的 安全 制度 ,但 本 节 构 建 的 两 个 
网 站 均 是 在 虚拟 机 中 运行 ,未 有 任何 安全 制度 ,因此 ,本 节 采 取 相 同 的 网 站 安全 制度 贡献 
值 0。 


2. 计算 并 比较 
在 得 到 两 个 网 站 的 贡献 值 后 ,要 综合 比较 矩阵 计算 所 得 到 的 权重 值 和 网 站 的 类 型 贡献 


值 , 则 可 通过 以 下 两 个 公式 计算 得 到 各 个 网 站 的 信任 度 值 : 


动 网 论坛 的 信任 度 计算 如 下 : 
Pw (( 一 9.67) 十 (一 3.267) 十 (一 0.1722))/3 =— 4. 3697 


pm 
ji 
PHPWind 论坛 的 信任 度 计算 如 下 : 
Pp 
Tpu Wat ((— 4. 264) + (— 0. 1722))/3 =— 1. 4787 
由 结 ADR PHPWind i 纶 坛 的 信任 度 要 高 于 动 网 论坛 的 信任 度 。 


3. 结论 

本 节 构 建 的 动 网 论坛 的 版 本 比较 早 , 且 扫描 软件 获得 的 链接 数 仅 为 73; 而 PHPWind 
论坛 的 版 本 为 8. 7 ,为 最 新 版 , 且 其 链接 数 为 1894。 尽 管 相 同时 期 的 两 种 论坛 版 本 的 代码 质 
量 和 网 上 评价 近乎 相同 ,但 由 于 PHPWind 论坛 的 版 本 较 新 ,并 且 链 接 数 量 和 代码 量 相对 于 
动 网 论坛 较 多 ,因此 PHPWind 论坛 的 信任 度 要 高 于 动 网 论坛 的 信任 度 。 在 本 节 中 运用 两 
种 目前 比较 流行 的 网 站 进行 比较 并 且 在 计算 中 得 到 了 相同 的 结果 ,证 明了 本 节 模 型 的 可 用 
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性 和 时 效 性 。 


8.4 网 络 个 人 用 户 信任 评价 体系 


本 节 提 出 网 络 个 人 用 户 信任 评价 体系 的 基础 是 网 络 实名 制 ,只 有 实现 了 网 络 实名 制 , 才 
能 更 好 地 将 网 络 个 人 用 户 的 网 络 身份 和 真实 身份 联系 在 一 起 。 考 虑 到 目前 实行 的 实名 制 只 
有 直接 实名 制 和 间接 实名 制 ,并且 其 在 实行 时 还 存在 缺陷 ,因此 ,本 节 提 出 实行 差别 化 实名 
制 来 区 分 不 同 的 场合 .不同 的 意愿 和 不 同 的 人 和 群 的 情况 , 即 对 于 不 同 的 场合 ,不 同 的 网 民意 
愿 .不 同 的 人 群 实行 不 同 的 实名 制 ,并 且 提 出 了 差别 化 实名 制 的 实现 方式 一 一 基于 PKI 的 
数字 证 书 认证 。 在 计算 网 络 个 人 信任 方面 ,本 节 提 出 通过 综合 运用 层次 分 析 法 和 模糊 层次 
分 析 法 来 确定 影响 网 络 个 人 用 户 信任 因素 的 权重 ,建议 通过 专家 或 专业 人 士 综合 相关 方面 
来 确定 各 个 因素 的 信任 贡献 值 , 用 以 确定 网 络 个 人 用 户 的 信任 。 


8.4.1 差别 化 网 络 实名 制 


长 期 以 来 ,开放 性 和 匿名 性 是 网 络 空间 的 显著 特性 ,所 谓 匿 名 性 是 指 网 络 用 户 ( 即 网 民 ) 
在 互联 网 上 经 常 以 匿名 的 形式 进行 各 种 网 络 活动 ,网 民 一 般 以 某 种 符号 化 的 网 名 而 不 是 真 
实 姓名 使 用 网 络 服 务 。 可 以 说 ,这 种 匿名 性 在 一 定时 期 内 促进 了 互联 网 的 快速 发 展 ,但 是 也 
带 来 了 网 络 空间 下 法 律 关系 主体 缺失 ,进而 导致 法 律 失灵 的 问题 ,由 此 引起 诸如 网 络 诚信 缺 
失 、 网 络 侵权 和 犯罪 等 问题 ,同时 也 给 网 络 个 人 用 户 的 诚信 度 和 信任 评价 工作 带 来 困难 。 针 
对 由 于 网 络 的 匿名 性 产生 的 问题 ,各 国政 府 越 来 越 重视 研究 网 络 实名 制 。 所 谓 网 络 实名 制 ， 
是 指 在 网 络 空间 里 参与 主体 的 身份 都 是 真实 的 主体 身份 ,并 且 与 现实 中 的 真实 身份 对 应 。 
如 果 没 有 网 络 实名 制 , 想 要 确定 某 些 消息 的 散布 者 是 谁 或 谁 是 某 次 攻击 的 操纵 者 都 是 比较 
困难 的 问题 。 由 于 无 法 确定 个 人 用 户 的 主体 身份 ,就 很 难 确定 与 之 相关 的 信息 、 行 为 的 真实 
性 和 可 靠 性 。 但 是 在 实施 网 络 实名 制 的 同时 ,也 可 能 对 网 络 用 户 造 成 伤害 ,由 于 实名 制 要 求 
网 络 ID 与 真实 身份 关联 在 一 起 ,从 而 增加 了 暴露 个 人 信息 的 风险 ,如 和 人肉 搜索 ,又 如 虐 猫 事 
件 、 死 亡 博客 事件 和 辽宁 女 事件 等 ,而 “艳照 门 "的 影响 更 是 不 言 而 喻 。 

1. 差别 化 实名 制 设计 

个 人 信息 的 搜集 与 整理 可 以 为 网 络 个 人 用 户 建立 信用 档案 、 进 行 信用 评级 提供 数据 来 
源 与 证 据 。 实 名 制 为 搜集 个 人 信息 提供 了 体制 保障 和 法 律 约束 ,但 在 人 们 争论 实名 制 是 否 
应 该 施行 和 是 否 会 对 网 络 活动 起 到 积极 作用 时 ,他 们 对 实名 制 还 不 是 非常 了 解 。 目 前 专家 
学 者 关注 的 实名 制 分 为 直接 实名 制 和 间接 实名 制 。 间 接 实名 制 , 又 称 后 台 实 名 制 , 是 一 种 

后 台 实名 前台 匿名 ”的 实名 制度 。 而 直接 实名 制 ,顾名思义 ,就 是 前 后 台 都 采用 实名 制 , 通 
过 用 户 的 网 络 身份 可 知 其 真实 身份 。 实 名 制 本身 可 分 为 不 同 的 类 型 并 运用 不 同 的 方法 , 它 
是 为 了 保护 网 络 健康 环境 而 建立 的 制度 , 它 的 制订 与 实施 都 是 可 以 随 环境 和 适用 群体 的 不 
同 而 改变 的 。 传 统 的 直接 实名 制 和 间接 实名 制 都 存在 不 足 , 因 此 ,本 节 提 出 建立 一 种 差别 化 
网 络 实名 制 , 用 以 解决 在 对 个 人 信息 进行 保护 的 同时 成 功 地 采集 用 户 身份 以 及 与 其 相关 的 
信息 的 问题 。 差 别 化 网 络 实名 制 有 3 层 含义 : 第 一 是 区 分 场合 ,第 二 是 区 分 意愿 ,第 三 是 区 
分 人 群 。 也 就 是 说 ,对 于 不 同 的 场合 ,不 同 的 网 民意 愿 和 不 同 的 人 群 实行 不 同 的 实名 制 。 
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2. 差别 化 实名 制 的 实现 

从 网 站 自身 拥有 的 技术 来 看 ,在 操作 层面 上 ,网 站 可 以 做 到 要 求 网 民 在 使 用 博客 和 论坛 
等 交互 式 栏目 时 在 后 台 使 用 实名 注册 ,但 允许 网 民 在 前 台 用 匿名 的 方式 登录 。 这 样 ,登录 者 
的 实名 对 网 站 管理 者 来 说 是 透明 的 ,而 对 其 他 网 民 则 是 隐蔽 的 。 网 民 之 间 只 能 相互 看 到 各 
自 的 昵称 ,而 不 会 看 到 各 自 的 真实 姓名 及 其 他 个 人 隐私 。 目 前 实现 差别 化 实名 制 在 技术 上 
是 成 熟 的 ,缺少 的 只 是 统一 的 有 效 的 认证 制度 和 认证 方法 。 

因此 ,本 节 提 出 通过 采用 基于 PKI 的 数字 证 书 来 实现 差别 化 网 络 实名 制 。 即 由 国家 来 
规范 CA 的 建设 ,设计 用 户 认证 过 程 并 且 应 用 用 户 移动 证 书 。 通 过 建立 国家 级 认证 中 心 , 统 
一 颁发 电子 证 书 保证 用 户 实体 的 可 信任 认证 ;通过 用 户 认 证 过 程 来 保证 认证 的 可 信 性 ;通过 
移动 证 书 来 保证 不 同 的 场合 ,不 同 的 意愿 和 不 同 的 群体 有 不 同 的 实名 制 限制 ;通过 用 户 携带 
的 USBKey 作为 认证 媒介 可 以 实现 实时 认证 。 这 样 使 用 户 在 不 同 的 网 站 实名 程度 不 同 ,在 
要 求 严格 的 网 站 完全 实名 ,在 可 选 实 名 时 按 用 户 意 愿 选择 ,通过 实名 验证 的 年 龄 登录 不 同 的 
网 站 等 。 由 于 经 过 加 密 的 个 人 信息 存储 于 移动 证 书 中 , 若 要 在 不 同 的 场合 ,对 不 同 的 用 户 意 
愿 或 针对 不 同 的 群体 实现 差别 化 的 实名 制 ,就 需要 在 网 站 的 服务 端 进行 相关 的 配置 。 当 用 
户 想 要 登录 直接 实名 制 的 网 站 时 ,该 网 站 会 提示 以 各 种 方式 证 明 身 份 , 在 本 节 中 以 USBKey 
作为 认证 媒介 , 即 插入 USBKey 移动 证 书 。 证 书 插入 后 ,从 客户 端 向 网 站 服务 器 端 发 出 认 
证 请 求 , 网 站 服务 器 端 通过 解密 算法 对 客户 端 发 出 的 加 密 后 的 身份 信息 进行 验证 。 验 证 成 
功 后 ,服务 器 端 会 向 客户 端 发 送 验证 成 功 消息 ,并 提示 是 否 适合 浏览 该 网 站 。 若 此 网 站 有 不 
同 的 实名 制 板块 时 ,验证 成 功 后 用 户 可 以 自主 选择 登录 不 同 的 板块 。 在 整个 认证 的 过 程 中 
身份 信息 都 是 以 加 密 的 形式 传送 的 ,并 且 服务 器 端 . 客 户 端 和 浏览 器 中 不 会 保存 任何 身份 信 
息 。 运 用 这 种 方法 既 可 以 确定 网 络 个 人 用 户 的 身份 ,同时 又 可 保证 用 户 身 份 及 其 相关 信息 
不 被 泄露 。 


8.4.2 网 络 个 人 用 户 评价 指标 体系 


网 络 个 人 用 户 是 网 络 上 最 大 的 群体 ,他 们 用 即时 聊天 软件 聊天 ,用 网 络 邮箱 收发 邮件 ， 
在 各 大 论坛 发 帖 ,还 有 近 几 年 比较 流行 的 博客 和 微 博 ,到 处 都 有 他 们 的 身影 。 但 若 要 采集 可 
靠 的 准确 的 网 络 个 人 用 户 信用 数据 ,首先 要 有 网 络 实名 制作 为 基础 ;其 次 ,采集 数据 的 途径 
也 非常 重要 。 随 着 互联 网 的 发 展 , 人 们 的 大 部 分 日 常生 活 都 可 以 通过 网 络 来 实现 ,网 络 和 人 
们 的 现实 生活 已 经 紧密 地 连接 在 一 起 。 因 此 ,在 网 络 实名 制 的 基础 上 ,现实 社会 中 的 信用 数 
据 也 是 影响 网 络 个 人 用 户 信 任 度 的 重要 因素 。 当 然 网 络 个 人 用 户 的 信任 度 还 取决 于 其 在 网 
络 上 的 行为 ,如 聊天 记录 、 邮 件 、 网 站 浏览 和 下 载 记录 ,在 论坛 中 发 布 的 帖子 、 网 络 银行 的 交 
DWR, 当然 还 包括 在 自己 博客 或 微 博 中 发 布 的 消息 和 上 传 的 图 片 等 。 这 些 数据 中 有 些 涉 
及 个 人 的 隐私 ,这 些 我 们 无 权 获 取 , 但 一 旦 个 人 用 户 通 过 各 种 方式 进行 有 害 个 人 信用 的 行为 
都 会 留 下 痕迹 。 可 以 通过 很 多 方法 获得 这 些 数据 ,如 即时 聊天 软件 QQ 的 举报 功能 、 论 坛 管 
理 员 查 封 的 不 合法 帖子 .各 大 交易 网 站 中 客户 的 交易 记录 、 网 络 游戏 的 举报 功能 .网络 上 的 
举报 中 心 ( 如 网 址 为 www.12321. cn 的 12321 网 络 不 良 与 垃圾 信息 举报 受理 中 心 ,或 网 址 
为 net. china. com. cn 的 中 国 互 联网 违法 和 不 良 信 息 举 报 中 心 等 )、 网 络 违法 犯罪 举报 网 站 
(www. cyberpolice. cn) 以 及 各 公司 的 防火 墙 得 到 的 相关 数据 等 。 

因此 ,本 节 的 网 络 个 人 用 户 评价 指标 体系 不 仅 包 括 现 实 社会 中 的 信用 数据 ,还 包括 以 上 
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提 到 的 从 网 络 中 搜集 到 的 相关 数据 。 网 络 个 人 用 户 的 评价 指标 体系 如 图 8. 10 所 示 。 


[ 网络 个 人 用 户 评价 指标 体系 


软件 | | 论坛 | | 网 络 | | 网 络 网 络 各 公 | | 交易 现实 现实 
的 举 | | 管理 | | 游戏 | | 举报 | | 违法 司 的 
报 功 | | 员 功 | | 的 举 | | ( 非 违 | | 犯罪 | | 防火 | | 中 的 中 的 公安 
É É 报 功 法 ) 举报 墙 记 | | 交易 信用 系统 
能 网 站 录 记录 | | 数据 数据 


8.10 网 络 个 人 用 户 评价 指标 体系 


由 于 涉及 个 人 的 隐私 ,要 得 到 网 络 个 人 用 户 在 网 络 上 进行 的 所 有 操作 的 记录 是 不 现实 
的 。 因 此 ,本 节 建 立 的 网 络 个 人 用 户 评价 的 指标 体系 中 包括 的 因素 并 不 是 所 有 影响 网 络 个 
人 用 户 的 因素 ,而 是 一 些 不 涉及 过 多 个 人 隐私 的 且 相 对 比较 容易 得 到 的 数据 。 


8.4.3 信任 评价 


网 络 个 人 用 户 的 信用 度 评价 不 仅 要 考虑 到 技术 ,法 律 法 规 和 人 文 因素 ,还 需要 大 众 的 参 
与 .各 个 部 门 的 配合 与 社会 各 界 的 关注 。 这 不 仅仅 是 由 于 网 络 个 人 用 户 的 信用 度 评价 需要 
各 个 方面 的 ,大 量 的 数据 ,更 是 由 于 个 人 用 户 的 信用 的 意义 重大 。 个 人 的 信用 不 仅 是 人 与 人 
交往 的 基础 ,更 是 构建 和 谐 社会 的 基础 和 精神 保障 。 个 人 的 信用 可 以 在 网 络 交友 、 论 坛 发 布 
消息 .下载 某 人 上 传 的 资料 、 人 才 招 聘 甚 至 网 上 做 交易 时 作为 参考 ,同时 在 做 这 些 事 的 时 候 
自己 的 信用 也 会 随 之 变化 。 个 人 的 网 络 行为 和 网 站 不 同 ,网 站 的 行为 可 以 在 计算 机 和 服务 
器 中 留 有 记录 ,而 个 人 的 行为 是 移动 中 的 ,可 能 在 不 同 的 地 点 出 现 并 运用 不 同 的 软件 。 同 
时 ,属于 智能 生物 的 人 类 其 行为 可 能 受到 的 影响 因素 众多 ,从 不 同 的 环境 到 不 同 的 心情 ,这 
些 都 是 与 软件 和 网 站 不 同 的 。 因 此 ,网 络 个 人 用 户 的 信用 度 评价 的 方法 更 加 复杂 ,并 且 要 加 
以 考虑 的 因素 更 多 。 


1. 模型 框架 及 方法 
考虑 到 影响 网 络 个 人 用 户 信 任 度 的 因素 众多 并 且 涉 及 不 同 的 方面 ,可 以 采取 结合 多 种 
方法 的 综合 分 级 评价 方式 ,因此 ,模型 框架 呈 层 次 结构 ,如 图 8. 11 所 示 。 


网 络 个 人 用 户 信任 度 
(运用 层次 分 析 法 ) 


软件 的 | | 网 络 游戏 | | 网 络 举报 | | 网络 违法 | | 论坛 管理 | | 各 公司 的 | | 交易 网 站 | | 现实 社会 | | 现实 中 
举报 功能 | | 的 举报 功 | | 中 心 ( 非 违 | | 犯罪 举报 | | 员 功 能 | | 防火 墙 | | 中 的 交易 | | 中 的 信用 | | 公安 系统 
能 法 ) 网 站 记录 记录 数据 数据 


8.11 网 络 个 人 用 户 信任 度 分 类 指标 体系 


由 于 准则 层 中 的 数据 的 可 信 性 很 明显 ,但 在 子 准则 层 中 可 能 得 到 的 数据 会 有 很 大 的 不 
确定 性 ,因此 ,本 节 采 用 对 准则 层 运 用 AHP 方法 ,对 于 举报 数据 的 子 准则 层 运用 模糊 层次 
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分 析 法 (Fuzzy AHP,FAHP) 来 确定 举报 数据 中 各 个 因素 的 权重 值 。 


2. iE Y E AERE 

由 于 数据 的 来 源 不 同 其 本 身 的 信任 度 也 有 不 同 , 来 自 举 报 功能 的 举报 数据 的 信任 性 要 
比 管理 员 功 能 和 现实 数据 差 ;而 从 管理 员 、 防 火 墙 和 交易 记录 中 的 数据 的 信任 性 要 高 于 举报 
数据 但 低 于 现实 中 的 数据 。 因 此 ,准则 层 比较 和 矩阵 下 为 


Fr. 2 3 
1 
Fa | * ? 
y 4 
* x] 


对 于 举报 数据 子 准则 层 中 的 数据 运用 模糊 层次 分 析 法 。 

此 种 方法 在 构造 两 两 比较 判断 矩阵 时 ,用 模糊 数 代 蔡 确定 值 来 表示 所 得 到 数据 的 模糊 
信息 ,将 两 两 比较 值 模 糊 化 从 而 得 到 模糊 权重 ,最 后 通过 非 模糊 化 将 模糊 判断 的 不 确定 性 在 
形式 上 转换 为 确定 性 -3 。 

定义 8.1 设 X 为 论 域 ,wz(Cz) 表 示 X 到 闭 区 间 [ 0,1] 上 的 函数 , 称 wm(Cz) 确 定 了 一 个 
X EBUBUN AE M ag M (ua GO |zEX) ERI us GODS M Bel ERG. SEU a E 
素 xo € X, ARUN uz (xo) 称 为 元 素 ro 对 于 模糊 集合 M 的 隶属 度 。 如 果 ug (x) =0.7, RR 
元 素 xz 以 0. 8 的 隶属 度 属 于 模糊 集合 IM ,而 以 0. 4 的 程度 不 属于 集合 uz 。 因 此 ,可 通过 调 
查 得 到 的 数据 从 而 得 到 举报 子 准则 层 的 比较 矩阵 G: 


a dg dg 1 

记录 数据 中 可 以 得 到 的 数据 是 确定 的 数据 ,但 是 从 获得 途径 可 以 看 出 ,交易 网 站 中 的 交 
易 记录 是 信任 度 最 高 的 ,因为 这 些 交易 记录 都 是 公开 给 用 户 看 的 。 之 所 以 选取 交易 记录 ,是 
因为 一 些 网 络 个 人 用 户 可 能 在 网 上 购物 的 时 候 进行 行 骗 或 给 卖家 恶意 评价 来 件 取 利益 。 同 
时 ,从 论坛 管理 员 功 能 和 公司 的 防火 墙 得 到 的 记录 数据 都 要 经 过 管理 员 和 公司 的 处 理 , 处 理 
结果 可 能 只 是 记录 数据 的 一 部 分 ,因为 其 中 可 能 混杂 了 该 公司 的 一 些 私密 信息 。 因 此 ,对 于 
记录 数据 子 准则 层 的 比较 矩阵 ,可 通过 专家 数据 或 调查 问卷 得 到 相关 上 比较 矩阵 H: 
l anr an] 


H = 


an 1 23 


43) a32 1 
对 于 现实 数据 来 说 ,本 节 中 列 出 的 两 种 影响 因素 重要 性 相同 ,所 以 比较 矩阵 R Ay 
位 阵 。 


3. 信任 度 贡献 值 的 确定 与 计算 
通过 对 矩阵 进行 每 列 归 一 化 .和 矩阵 的 各 元 素 按 行 相 加 \ 向 量 的 归 一 化 并 进行 一 致 性 检验 
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后 ,应 用 通过 一 致 性 检验 的 矩阵 或 经 过 调整 的 矩阵 进行 计算 ,得 出 权重 值 用 于 评价 。 

网 络 个 人 用 户 的 信任 度 会 被 作为 用 户 进行 网 络 操作 行为 时 的 参考 ,其 意义 重大 ,所 以 各 
个 子 准则 层 和 准则 层 元 素 的 贡献 值 的 确定 ,就 需要 由 专家 或 专业 人 士 综 合 相关 法 律 法 规 、 情 
景 情况 以 及 人 文宗 教 等 各 个 方面 的 因素 来 进行 ,以 得 出 个 人 的 信任 度 贡 献 值 ,最 后 通过 各 个 
因素 的 贡献 值 和 权重 计算 网 络 个 人 用 户 的 信任 度 。 


8.5 本 章 小 结 


为 了 加 强 网 络 诚信 建设 ,必须 建立 一 套 有 效 的 网 络 主体 信任 评价 标准 .评价 方法 和 评价 
体系 。 本 章 主 要 探讨 了 3 种 网 络 主体 评价 体系 : 软件 信任 评价 体系 、 网 站 信任 评价 体系 和 
网 络 个 人 用 户 信任 评价 体系 。 首 先 ,采用 AHP 方法 建立 软件 信任 评价 模型 ,分 析 了 影响 软 
件 信任 度 的 因素 ,并 运用 调查 问卷 的 形式 得 到 相关 的 软件 评价 数据 ,用 以 对 软件 评价 模型 进 
行 检验 。 然 后 ,基于 AHP 方法 对 网 站 的 信任 评价 进行 建 模 , 模 型 中 不 仅 考虑 到 比较 受 关注 
的 网 站 漏洞 ,还 考虑 了 网 站 类 别 和 网 站 安全 制度 等 因素 ,并 通过 应 用 虚拟 机 技术 建立 两 个 不 
同 的 网 站 验证 了 模型 的 可 用 性 。 最 后 ,在 讨论 网 络 个 人 用 户 信任 评价 体系 的 过 程 中 ,提出 了 
一 种 差别 化 网 络 实名 制 ,探讨 了 这 种 差别 化 网 络 实名 制 的 实现 方法 ,在 此 基础 上 详细 分 析 了 
网 络 个 人 用 户 信 任 评 价 的 指标 体系 和 信任 评价 模型 。 
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